ProHoster > Blog > administração > Troldesh com uma nova máscara: outra onda de envio em massa de um vírus ransomware

Troldesh com uma nova máscara: outra onda de envio em massa de um vírus ransomware

Desde o início de hoje até o presente, os especialistas do JSOC CERT registraram uma distribuição maliciosa massiva do vírus de criptografia Troldesh. Sua funcionalidade é mais ampla do que apenas um criptografador: além do módulo de criptografia, ele tem a capacidade de controlar remotamente uma estação de trabalho e baixar módulos adicionais. Em março deste ano já informado sobre a epidemia de Troldesh - então o vírus mascarou sua distribuição usando dispositivos IoT. Agora, versões vulneráveis ​​do WordPress e da interface cgi-bin são usadas para isso.

Troldesh com uma nova máscara: outra onda de envio em massa de um vírus ransomware

A correspondência é enviada de endereços diferentes e contém no corpo da carta um link para recursos da web comprometidos com componentes do WordPress. O link contém um arquivo contendo um script em Javascript. Como resultado de sua execução, o criptografador Troldesh é baixado e iniciado.

E-mails maliciosos não são detectados pela maioria das ferramentas de segurança porque contêm um link para um recurso legítimo da web, mas o próprio ransomware é atualmente detectado pela maioria dos fabricantes de software antivírus. Observação: como o malware se comunica com servidores C&C localizados na rede Tor, é potencialmente possível baixar módulos de carga externos adicionais para a máquina infectada que podem “enriquecê-la”.

Algumas das características gerais deste boletim informativo incluem:

(1) exemplo de assunto de newsletter - “Sobre encomendas”

(2) todos os links são externamente semelhantes - eles contêm as palavras-chave /wp-content/ e /doc/, por exemplo:
Boca de Cavalo[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-academy[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) o malware acessa vários servidores de controle via Tor

(4) é criado um arquivo Nome do arquivo: C:ProgramDataWindowscsrss.exe, registrado no registro na ramificação SOFTWAREMicrosoftWindowsCurrentVersionRun (nome do parâmetro - Client Server Runtime Subsystem).

Recomendamos certificar-se de que os bancos de dados do seu software antivírus estejam atualizados, considerando informar os funcionários sobre esta ameaça e também, se possível, fortalecer o controle sobre as cartas recebidas com os sintomas acima.

Fonte: habr.com

Adicionar um comentário