Այսօրվա սկզբից մինչ օրս JSOC CERT-ի փորձագետները գրանցել են Troldesh ծածկագրող վիրուսի զանգվածային չարամիտ տարածում: Դրա ֆունկցիոնալությունն ավելի լայն է, քան պարզապես կոդավորիչը. բացի գաղտնագրման մոդուլից, այն ունի աշխատանքային կայանը հեռակա կարգով կառավարելու և լրացուցիչ մոդուլներ ներբեռնելու հնարավորություն: Այս տարվա մարտին մենք արդեն Տրոլդեշի համաճարակի մասին, այնուհետև վիրուսը դիմակավորեց իր առաքումը IoT սարքերի միջոցով: Այժմ դրա համար օգտագործվում են WordPress-ի խոցելի տարբերակները և cgi-bin ինտերֆեյսը:
Նամակն ուղարկվում է տարբեր հասցեներից և նամակի տեքստում պարունակում է հղում դեպի վտանգված վեբ ռեսուրսներ WordPress-ի բաղադրիչներով: Հղումը պարունակում է Javascript-ով սկրիպտ պարունակող արխիվ: Դրա կատարման արդյունքում ներբեռնվում և գործարկվում է Troldesh ծածկագրիչը:
Վնասակար նամակները չեն հայտնաբերվում անվտանգության գործիքների մեծ մասի կողմից, քանի որ դրանք պարունակում են հղում դեպի օրինական վեբ ռեսուրս, սակայն փրկագինն ինքը ներկայումս հայտնաբերվում է հակավիրուսային ծրագրեր արտադրողների մեծ մասի կողմից: Նշում. քանի որ չարամիտ ծրագիրը շփվում է Tor ցանցում տեղակայված C&C սերվերների հետ, հնարավոր է, որ վարակված մեքենայի վրա ներբեռնվեն լրացուցիչ արտաքին բեռնման մոդուլներ, որոնք կարող են «հարստացնել» այն:
Այս տեղեկագրի ընդհանուր առանձնահատկություններից մի քանիսը ներառում են.
(1) տեղեկագրի թեմայի օրինակ՝ «Պատվիրելու մասին»
(2) բոլոր հղումները արտաքինից նման են. դրանք պարունակում են /wp-content/ և /doc/ հիմնաբառերը, օրինակ.
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) չարամիտ ծրագիրը մուտք է գործում տարբեր կառավարման սերվերներ Tor-ի միջոցով
(4) ստեղծվում է ֆայլ Ֆայլի անուն՝ C:ProgramDataWindowscsrss.exe, գրանցված գրանցամատյանում SOFTWAREMicrosoftWindowsCurrentVersionRun մասնաճյուղում (պարամետրի անվանումը՝ Client Server Runtime Subsystem):
Խորհուրդ ենք տալիս համոզվել, որ ձեր հակավիրուսային ծրագրերի տվյալների բազաները արդիական են՝ հաշվի առնելով աշխատակիցներին այդ սպառնալիքի մասին տեղեկացնելը, ինչպես նաև, հնարավորության դեպքում, ուժեղացնել վերահսկողությունը վերը նշված ախտանիշներով մուտքային նամակների նկատմամբ:
Source: www.habr.com