Od začiatku dnešného dňa až po súčasnosť odborníci JSOC CERT zaznamenali masívne škodlivé šírenie šifrovacieho vírusu Troldesh. Jeho funkcionalita je širšia ako len šifrovanie: okrem šifrovacieho modulu má možnosť diaľkovo ovládať pracovnú stanicu a sťahovať ďalšie moduly. V marci tohto roku sme už o epidémii Troldesh - potom vírus maskoval jeho doručenie pomocou zariadení internetu vecí. Teraz sa na to používajú zraniteľné verzie WordPress a rozhranie cgi-bin.
Mailing sa odosiela z rôznych adries a v tele listu obsahuje odkaz na napadnuté webové zdroje s komponentmi WordPress. Odkaz obsahuje archív obsahujúci skript v Javascripte. V dôsledku jeho vykonania sa stiahne a spustí šifrovač Troldesh.
Škodlivé e-maily väčšina bezpečnostných nástrojov nezistí, pretože obsahujú odkaz na legitímny webový zdroj, ale samotný ransomvér v súčasnosti deteguje väčšina výrobcov antivírusového softvéru. Poznámka: Keďže malvér komunikuje so servermi C&C umiestnenými v sieti Tor, je potenciálne možné stiahnuť do infikovaného počítača ďalšie externé načítacie moduly, ktoré ho môžu „obohatiť“.
Niektoré zo všeobecných funkcií tohto bulletinu zahŕňajú:
(1) príklad predmetu newslettera – „O objednávke“
(2) všetky odkazy sú externe podobné – obsahujú kľúčové slová /wp-content/ a /doc/, napríklad:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) malvér pristupuje k rôznym riadiacim serverom cez Tor
(4) vytvorí sa súbor Názov súboru: C:ProgramDataWindowscsrss.exe, zaregistrovaný v registri vo vetve SOFTWAREMicrosoftWindowsCurrentVersionRun (názov parametra - Client Server Runtime Subsystem).
Odporúčame uistiť sa, že sú vaše databázy antivírusového softvéru aktuálne, zvážiť informovanie zamestnancov o tejto hrozbe a tiež, ak je to možné, posilniť kontrolu nad prichádzajúcimi listami s vyššie uvedenými príznakmi.
Zdroj: hab.com