Desde o início de hoje até o presente, os especialistas do JSOC CERT registraram uma distribuição maliciosa massiva do vírus de criptografia Troldesh. Sua funcionalidade é mais ampla do que apenas um criptografador: além do módulo de criptografia, ele tem a capacidade de controlar remotamente uma estação de trabalho e baixar módulos adicionais. Em março deste ano já
A correspondência é enviada de endereços diferentes e contém no corpo da carta um link para recursos da web comprometidos com componentes do WordPress. O link contém um arquivo contendo um script em Javascript. Como resultado de sua execução, o criptografador Troldesh é baixado e iniciado.
E-mails maliciosos não são detectados pela maioria das ferramentas de segurança porque contêm um link para um recurso legítimo da web, mas o próprio ransomware é atualmente detectado pela maioria dos fabricantes de software antivírus. Observação: como o malware se comunica com servidores C&C localizados na rede Tor, é potencialmente possível baixar módulos de carga externos adicionais para a máquina infectada que podem “enriquecê-la”.
Algumas das características gerais deste boletim informativo incluem:
(1) exemplo de assunto de newsletter - “Sobre encomendas”
(2) todos os links são externamente semelhantes - eles contêm as palavras-chave /wp-content/ e /doc/, por exemplo:
Boca de Cavalo[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) o malware acessa vários servidores de controle via Tor
(4) é criado um arquivo Nome do arquivo: C:ProgramDataWindowscsrss.exe, registrado no registro na ramificação SOFTWAREMicrosoftWindowsCurrentVersionRun (nome do parâmetro - Client Server Runtime Subsystem).
Recomendamos certificar-se de que os bancos de dados do seu software antivírus estejam atualizados, considerando informar os funcionários sobre esta ameaça e também, se possível, fortalecer o controle sobre as cartas recebidas com os sintomas acima.
Fonte: habr.com