Бүгүнкү күндө JSOC CERT эксперттери Troldesh шифрлөөчү вирустун массалык түрдө зыяндуу жайылышын катташты. Анын функционалдуулугу шифрлөөчүгө караганда кененирээк: шифрлөө модулунан тышкары, жумушчу станцияны алыстан башкаруу жана кошумча модулдарды жүктөө мүмкүнчүлүгү бар. Ушул жылдын март айында эле биз Тролдеш эпидемиясы жөнүндө - анда вирус IoT түзмөктөрүн колдонуу менен анын жеткирилишин жашырган. Эми бул үчүн WordPressтин аялуу версиялары жана cgi-bin интерфейси колдонулат.
Почта ар кандай даректерден жөнөтүлөт жана каттын текстинде WordPress компоненттери менен бузулган веб-ресурстарга шилтемени камтыйт. Шилтеме Javascript скрипти камтыган архивди камтыйт. Анын аткарылышынын натыйжасында Troldesh шифрлөөчүсү жүктөлүп алынып, ишке киргизилет.
Зыяндуу электрондук каттар көпчүлүк коопсуздук куралдары тарабынан аныкталбайт, анткени аларда мыйзамдуу веб-ресурска шилтеме бар, бирок ransomware өзү учурда антивирустук программалык камсыздоону өндүрүүчүлөр тарабынан аныкталат. Эскертүү: кесепеттүү программа Tor тармагында жайгашкан C&C серверлери менен байланышта болгондуктан, аны "байытуу" мүмкүн болгон жуккан машинага кошумча тышкы жүктөө модулдарын жүктөө мүмкүн.
Бул маалымат бюллетенинин кээ бир жалпы өзгөчөлүктөрү төмөнкүлөрдү камтыйт:
(1) маалымат бюллетенинин темасынын мисалы - "Заказ берүү жөнүндө"
(2) бардык шилтемелер тышкы окшош - алар /wp-content/ жана /doc/ ачкыч сөздөрдү камтыйт, мисалы:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) кесепеттүү программа Tor аркылуу ар кандай башкаруу серверлерине жетет
(4) файл түзүлөт Filename: C:ProgramDataWindowscsrss.exe, SOFTWAREMicrosoftWindowsCurrentVersionRun тармагындагы реестрде катталган (параметрдин аты - Client Server Runtime Subсистемасы).
Биз сиздин антивирустук программаңыздын маалымат базалары жаңыртылганын текшерип, кызматкерлерге бул коркунуч жөнүндө кабарлоону, ошондой эле мүмкүн болсо, жогоруда айтылган симптомдор менен келген каттарга көзөмөлдү күчөтүүнү сунуштайбыз.
Source: www.habr.com