Od początku dnia dzisiejszego do chwili obecnej eksperci JSOC CERT odnotowali masową złośliwą dystrybucję wirusa szyfrującego Troldesh. Jego funkcjonalność jest szersza niż tylko szyfratora: oprócz modułu szyfrującego ma możliwość zdalnego sterowania stacją roboczą i pobierania dodatkowych modułów. Już w marcu tego roku
Mailing jest wysyłany z różnych adresów i zawiera w treści listu link do zainfekowanych zasobów sieciowych zawierających komponenty WordPress. Link zawiera archiwum zawierające skrypt w języku Javascript. W wyniku jego wykonania pobierany i uruchamiany jest program szyfrujący Troldesh.
Większość narzędzi zabezpieczających nie wykrywa złośliwych wiadomości e-mail, ponieważ zawierają łącze do legalnego zasobu internetowego, jednak samo oprogramowanie ransomware jest obecnie wykrywane przez większość producentów oprogramowania antywirusowego. Uwaga: ponieważ złośliwe oprogramowanie komunikuje się z serwerami C&C zlokalizowanymi w sieci Tor, potencjalnie możliwe jest pobranie na zainfekowaną maszynę dodatkowych zewnętrznych modułów ładujących, które mogą ją „wzbogacić”.
Niektóre z ogólnych cech tego biuletynu obejmują:
(1) przykładowy temat newslettera - „O zamówieniu”
(2) wszystkie linki są zewnętrznie podobne - zawierają słowa kluczowe /wp-content/ i /doc/, np.:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
Chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) złośliwe oprogramowanie uzyskuje dostęp do różnych serwerów kontrolnych za pośrednictwem Tora
(4) tworzony jest plik Filename: C:ProgramDataWindowscsrss.exe, zarejestrowany w rejestrze w gałęzi SOFTWAREMicrosoftWindowsCurrentVersionRun (nazwa parametru - Client Server Runtime Subsystem).
Zalecamy zadbać o aktualność baz danych oprogramowania antywirusowego, rozważyć poinformowanie pracowników o tym zagrożeniu, a także w miarę możliwości wzmocnienie kontroli nad przychodzącymi listami z powyższymi objawami.
Źródło: www.habr.com