اڄ جي شروعات کان وٺي اڄ تائين، JSOC CERT ماهرن ٽرالڊش انڪرپٽنگ وائرس جي وڏي بدسلوڪي ورڇ رڪارڊ ڪيو آهي. ان جي ڪارڪردگي صرف انڪريپٽر جي ڀيٽ ۾ وسيع آھي: انڪريپشن ماڊل جي اضافي ۾، ان ۾ ھڪڙي ڪم اسٽيشن کي ريموٽ ڪنٽرول ڪرڻ ۽ اضافي ماڊلز کي ڊائون لوڊ ڪرڻ جي صلاحيت آھي. هن سال جي مارچ ۾ اسان اڳ ۾ ئي ٽرالڊش جي وبا بابت - پوءِ وائرس IoT ڊوائيسز استعمال ڪندي ان جي ترسيل کي نقاب ڪيو. هاڻي، ورڈپریس جا ڪمزور ورزن ۽ cgi-bin انٽرفيس هن لاءِ استعمال ڪيا ويا آهن.
ميلنگ مختلف ايڊريس تان موڪلي وئي آهي ۽ خط جي باڊي ۾ ورڈپریس اجزاء سان سمجھوتي ڪيل ويب وسيلن جي لنڪ تي مشتمل آهي. لنڪ هڪ آرڪائيو تي مشتمل آهي جاوا اسڪرپٽ ۾ اسڪرپٽ تي مشتمل آهي. ان جي عمل جي نتيجي ۾، ٽرلڊش انڪرپٽر ڊائون لوڊ ۽ لانچ ڪيو ويو آهي.
بدسلوڪي اي ميلون اڪثر حفاظتي اوزارن جي ذريعي نه ڳولهيون وينديون آهن ڇاڪاڻ ته اهي هڪ جائز ويب وسيلن جي لنڪ تي مشتمل هونديون آهن، پر ransomware پاڻ هن وقت اڪثر اينٽي وائرس سافٽ ويئر ٺاهيندڙن پاران ڳولي لڌو آهي. نوٽ: جيئن ته مالويئر ٽور نيٽ ورڪ تي واقع C&C سرورز سان رابطو ڪري ٿو، اهو ممڪن آهي ته متاثر ٿيل مشين تي اضافي بيروني لوڊ ماڊلز ڊائون لوڊ ڪريو جيڪي ان کي ”اڀرو“ ڪري سگهن.
ھن نيوز ليٽر جي ڪجھ عام خصوصيتن ۾ شامل آھن:
(1) نيوز ليٽر جي مضمون جو مثال - "آرڊر ڪرڻ بابت"
(2) سڀئي ڳنڍيون خارجي طور تي هڪجهڙا آهن - اهي لفظ /wp-content/ ۽ /doc/ تي مشتمل آهن، مثال طور:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) مالويئر Tor ذريعي مختلف ڪنٽرول سرورز تائين رسائي ٿو
(4) هڪ فائل ٺاهي وئي آهي Filename: C:ProgramDataWindowscsrss.exe، رجسٽري ۾ رجسٽري ۾ SOFTWARMicrosoftWindowsCurrentVersionRun برانچ (پيراميٽر جو نالو - ڪلائنٽ سرور رن ٽائم سب سسٽم).
اسان سفارش ڪريون ٿا ته پڪ ڪريو ته توهان جو اينٽي وائرس سافٽ ويئر ڊيٽابيس تازه ترين آهي، ملازمن کي هن خطري جي باري ۾ آگاهي ڏيڻ تي غور ڪندي، ۽ پڻ، جيڪڏهن ممڪن هجي ته، مٿين علامن سان گڏ ايندڙ خطن تي ڪنٽرول کي مضبوط ڪن.
جو ذريعو: www.habr.com