ProHoster > blog > amministrazione > Troldesh con una nuova maschera: un'altra ondata di invio di massa di un virus ransomware

Troldesh con una nuova maschera: un'altra ondata di invio di massa di un virus ransomware

Dall'inizio di oggi ad oggi, gli esperti di JSOC CERT hanno registrato una massiccia distribuzione dannosa del virus di crittografia Troldesh. Le sue funzionalità sono più ampie di quelle di un semplice crittografo: oltre al modulo di crittografia, ha la capacità di controllare da remoto una postazione di lavoro e scaricare moduli aggiuntivi. Nel marzo di quest'anno lo abbiamo già informato sull'epidemia di Troldesh - allora il virus ha mascherato la sua diffusione utilizzando dispositivi IoT. Ora a questo scopo vengono utilizzate le versioni vulnerabili di WordPress e l’interfaccia cgi-bin.

Troldesh con una nuova maschera: un'altra ondata di invio di massa di un virus ransomware

L'e-mail viene inviata da indirizzi diversi e contiene nel corpo della lettera un collegamento a risorse web compromesse con componenti WordPress. Il collegamento contiene un archivio contenente uno script in Javascript. Come risultato della sua esecuzione, il crittografo Troldesh viene scaricato e avviato.

Le e-mail dannose non vengono rilevate dalla maggior parte degli strumenti di sicurezza perché contengono un collegamento a una risorsa Web legittima, ma il ransomware stesso viene attualmente rilevato dalla maggior parte dei produttori di software antivirus. Nota: poiché il malware comunica con i server C&C situati sulla rete Tor, è potenzialmente possibile scaricare sulla macchina infetta moduli di caricamento esterni aggiuntivi che possono “arricchirla”.

Alcune delle caratteristiche generali di questa newsletter includono:

(1) esempio di oggetto di una newsletter - "Informazioni sull'ordinazione"

(2) tutti i collegamenti sono esternamente simili: contengono le parole chiave /wp-content/ e /doc/, ad esempio:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.accademia-montessori[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
castagnaplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) il malware accede a diversi server di controllo tramite Tor

(4) viene creato un file Nome file: C:ProgramDataWindowscsrss.exe, registrato nel registro nel ramo SOFTWAREMicrosoftWindowsCurrentVersionRun (nome parametro - Client Server Runtime Subsystem).

Ti consigliamo di assicurarti che i database del tuo software antivirus siano aggiornati, di considerare di informare i dipendenti di questa minaccia e, se possibile, di rafforzare il controllo sulle lettere in arrivo con i sintomi di cui sopra.

Fonte: habr.com

Aggiungi un commento