ProHoster > blog > administratie > Troldesh met een nieuw masker: een nieuwe golf van massamailing van een ransomware-virus

Troldesh met een nieuw masker: een nieuwe golf van massamailing van een ransomware-virus

Vanaf het begin van vandaag tot heden hebben JSOC CERT-experts een enorme kwaadaardige verspreiding van het Troldesh-coderingsvirus geregistreerd. De functionaliteit ervan is breder dan alleen die van een encryptor: naast de encryptiemodule heeft het de mogelijkheid om een ​​werkstation op afstand te besturen en extra modules te downloaden. In maart van dit jaar waren we al op de hoogte over de Troldesh-epidemie – waarna het virus de verspreiding ervan maskeerde met behulp van IoT-apparaten. Nu worden hiervoor kwetsbare versies van WordPress en de cgi-bin interface gebruikt.

Troldesh met een nieuw masker: een nieuwe golf van massamailing van een ransomware-virus

De mailing wordt vanaf verschillende adressen verzonden en bevat in de hoofdtekst van de brief een link naar gecompromitteerde webbronnen met WordPress-componenten. De link bevat een archief met daarin een script in Javascript. Als resultaat van de uitvoering ervan wordt de Troldesh-encryptor gedownload en gelanceerd.

Schadelijke e-mails worden door de meeste beveiligingstools niet gedetecteerd omdat ze een link naar een legitieme webbron bevatten, maar de ransomware zelf wordt momenteel wel gedetecteerd door de meeste fabrikanten van antivirussoftware. Let op: aangezien de malware communiceert met C&C-servers die zich op het Tor-netwerk bevinden, is het mogelijk mogelijk om extra externe laadmodules naar de geïnfecteerde machine te downloaden die deze kunnen “verrijken”.

Enkele algemene kenmerken van deze nieuwsbrief zijn:

(1) voorbeeld van een nieuwsbriefonderwerp - “Over bestellen”

(2) alle links zijn extern vergelijkbaar - ze bevatten de trefwoorden /wp-content/ en /doc/, bijvoorbeeld:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-academie[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) de malware heeft via Tor toegang tot verschillende controleservers

(4) Er wordt een bestand gemaakt Bestandsnaam: C:ProgramDataWindowscsrss.exe, geregistreerd in het register in de SOFTWAREMicrosoftWindowsCurrentVersionRun-tak (parameternaam - Client Server Runtime Subsystem).

We raden u aan ervoor te zorgen dat de databases van uw antivirussoftware up-to-date zijn, waarbij u werknemers over deze dreiging informeert en, indien mogelijk, ook de controle over inkomende brieven met de bovengenoemde symptomen versterkt.

Bron: www.habr.com

Voeg een reactie