A mai nap elejétől napjainkig a JSOC CERT szakértői a Troldesh titkosító vírus hatalmas rosszindulatú terjesztését rögzítették. Funkcionalitása szélesebb, mint egy titkosítóé: a titkosító modulon kívül képes a munkaállomás távoli vezérlésére és további modulok letöltésére. Ez év márciusában már
A levelet különböző címekről küldik, és a levél törzsében egy hivatkozást tartalmaznak, amely a WordPress összetevőit tartalmazó, kompromittált webes erőforrásokra mutató hivatkozást tartalmaz. A hivatkozás egy olyan archívumot tartalmaz, amely egy Javascript-beli szkriptet tartalmaz. A végrehajtás eredményeként a Troldesh titkosító letöltődik és elindul.
A rosszindulatú e-maileket a legtöbb biztonsági eszköz nem észleli, mert egy legitim webes forrásra mutató hivatkozást tartalmaznak, de magát a zsarolóprogramot jelenleg a legtöbb víruskereső szoftver gyártója észleli. Megjegyzés: mivel a rosszindulatú program a Tor hálózaton található C&C szerverekkel kommunikál, potenciálisan lehetséges további külső betöltési modulok letöltése a fertőzött gépre, amelyek „dúsíthatják” azt.
A hírlevél néhány általános jellemzője:
(1) példa a hírlevél tárgyára – „A rendelésről”
(2) minden hivatkozás külsőleg hasonló – a /wp-content/ és a /doc/ kulcsszavakat tartalmazzák, például:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) a rosszindulatú program különböző vezérlőszerverekhez fér hozzá a Toron keresztül
(4) létrejön egy fájl Fájlnév: C:ProgramDataWindowscsrss.exe, a SZOFTVER MicrosoftWindowsCurrentVersionRun ágában regisztrálva (a paraméter neve - Client Server Runtime Subsystem).
Javasoljuk, hogy ügyeljen arra, hogy víruskereső szoftverek adatbázisai naprakészek legyenek, fontolja meg az alkalmazottak tájékoztatását erről a veszélyről, valamint lehetőség szerint a fenti tünetekkel járó beérkező levelek ellenőrzésének megerősítését.
Forrás: will.com