Sejak awal hingga saat ini, para ahli JSOC CERT telah mencatat penyebaran virus enkripsi Troldesh yang berbahaya secara besar-besaran. Fungsinya lebih luas dari sekedar enkripsi: selain modul enkripsi, ia memiliki kemampuan untuk mengontrol stasiun kerja dari jarak jauh dan mengunduh modul tambahan. Pada bulan Maret tahun ini kita sudah tentang epidemi Troldesh - kemudian virus tersebut menyamarkan penyampaiannya menggunakan perangkat IoT. Sekarang, versi WordPress yang rentan dan antarmuka cgi-bin digunakan untuk ini.
Surat dikirim dari alamat yang berbeda dan di badan surat terdapat tautan ke sumber daya web yang disusupi dengan komponen WordPress. Tautan tersebut berisi arsip yang berisi skrip dalam Javascript. Sebagai hasil dari eksekusinya, enkripsi Troldesh diunduh dan diluncurkan.
Email berbahaya tidak terdeteksi oleh sebagian besar alat keamanan karena berisi tautan ke sumber web yang sah, namun ransomware itu sendiri saat ini terdeteksi oleh sebagian besar produsen perangkat lunak antivirus. Catatan: karena malware berkomunikasi dengan server C&C yang terletak di jaringan Tor, ada kemungkinan untuk mengunduh modul beban eksternal tambahan ke mesin yang terinfeksi yang dapat βmemperkayaβ mesin tersebut.
Beberapa fitur umum buletin ini antara lain:
(1) contoh subjek buletin - βTentang pemesananβ
(2) semua tautan serupa secara eksternal - mengandung kata kunci /wp-content/ dan /doc/, misalnya:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) malware mengakses berbagai server kontrol melalui Tor
(4) file dibuat Nama file: C:ProgramDataWindowscsrss.exe, terdaftar di registri di cabang SOFTWAREMicrosoftWindowsCurrentVersionRun (nama parameter - Subsistem Runtime Server Klien).
Kami menyarankan untuk memastikan bahwa basis data perangkat lunak anti-virus Anda mutakhir, mempertimbangkan untuk memberi tahu karyawan tentang ancaman ini, dan juga, jika mungkin, memperkuat kontrol atas surat masuk dengan gejala di atas.
Sumber: www.habr.com