Frá upphafi dagsins í dag til dagsins í dag hafa JSOC CERT sérfræðingar skráð gríðarlega illgjarna dreifingu á Troldesh dulkóðunarvírusnum. Virkni þess er víðtækari en bara dulkóðunar: auk dulkóðunareiningarinnar hefur það getu til að fjarstýra vinnustöð og hlaða niður viðbótareiningum. Í mars á þessu ári höfum við nú þegar um Troldesh faraldurinn - þá dulaði vírusinn afhendingu sína með því að nota IoT tæki. Nú eru viðkvæmar útgáfur af WordPress og cgi-bin viðmótinu notaðar fyrir þetta.
Pósturinn er sendur frá mismunandi heimilisföngum og inniheldur í meginmáli bréfsins tengil á vefauðlindir sem eru í hættu með WordPress íhlutum. Hlekkurinn inniheldur skjalasafn sem inniheldur handrit í Javascript. Sem afleiðing af framkvæmd þess er Troldesh dulkóðaranum hlaðið niður og ræst.
Skaðlegur tölvupóstur er ekki greindur af flestum öryggisverkfærum vegna þess að þeir innihalda hlekk á lögmæta vefsíðu, en lausnarforritið sjálft er eins og er greint af flestum vírusvarnarhugbúnaðarframleiðendum. Athugið: þar sem spilliforritið hefur samskipti við C&C netþjóna sem staðsettir eru á Tor netinu, er hugsanlega mögulegt að hlaða niður viðbótar ytri hleðslueiningum á sýktu vélina sem geta „auðgað“ hana.
Sumir af almennum eiginleikum þessa fréttabréfs eru:
(1) dæmi um efni fréttabréfs - „Um pöntun“
(2) allir tenglar eru svipaðir ytra - þeir innihalda leitarorðin /wp-content/ og /doc/, til dæmis:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) spilliforritið hefur aðgang að ýmsum stjórnunarþjónum í gegnum Tor
(4) skrá er búin til Skráarnafn: C:ProgramDataWindowscsrss.exe, skráð í skránni í SOFTWAREMicrosoftWindowsCurrentVersionRun útibúinu (nafn færibreytu - Runtime undirkerfi viðskiptavinaþjóns).
Við mælum með að ganga úr skugga um að gagnagrunnar vírusvarnarhugbúnaðarins séu uppfærðir, íhuga að upplýsa starfsmenn um þessa ógn og einnig, ef mögulegt er, styrkja eftirlit með bréfum sem berast með ofangreindum einkennum.
Heimild: www.habr.com