Wiwit dina iki nganti saiki, ahli JSOC CERT wis nyathet distribusi virus enkripsi Troldesh sing gedhe banget. Fungsine luwih jembar tinimbang mung enkripsi: saliyane modul enkripsi, nduweni kemampuan kanggo ngontrol workstation saka jarak jauh lan ndownload modul tambahan. Ing Maret taun iki kita wis babagan wabah Troldesh - banjur virus kasebut nutupi pangiriman nggunakake piranti IoT. Saiki, versi WordPress sing rawan lan antarmuka cgi-bin digunakake kanggo iki.
Mailing dikirim saka macem-macem alamat lan ngemot ing awak surat link menyang sumber daya web kompromi karo komponen WordPress. Link kasebut ngemot arsip sing ngemot skrip ing Javascript. Minangka asil eksekusi, enkripsi Troldesh diundhuh lan diluncurake.
Email ala ora dideteksi dening umume piranti keamanan amarga ngemot link menyang sumber web sing sah, nanging ransomware dhewe saiki dideteksi dening umume produsen piranti lunak antivirus. Cathetan: amarga malware kasebut komunikasi karo server C&C sing ana ing jaringan Tor, bisa uga ndownload modul beban eksternal tambahan menyang mesin sing kena infeksi sing bisa "memperkaya".
Sawetara fitur umum buletin iki kalebu:
(1) conto subyek newsletter - "Babagan pesenan"
(2) kabeh pranala njaba padha - padha ngemot tembung kunci /wp-content/ lan /doc/, contone:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) malware ngakses macem-macem server kontrol liwat Tor
(4) file digawe Filename: C:ProgramDataWindowscsrss.exe, kedhaftar ing pendaptaran ing cabang SOFTWAREMicrosoftWindowsCurrentVersionRun (jeneng parameter - Client Server Runtime Subsystem).
Disaranake mesthekake yen database piranti lunak anti-virus sampeyan paling anyar, ngelingi ngandhani karyawan babagan ancaman iki, lan uga, yen bisa, nguatake kontrol liwat surat sing mlebu kanthi gejala ing ndhuwur.
Source: www.habr.com