Od začetka današnjega dne do danes so strokovnjaki JSOC CERT zabeležili množično zlonamerno distribucijo šifrirnega virusa Troldesh. Njegova funkcionalnost je širša od funkcionalnosti šifrirnika: poleg šifrirnega modula ima možnost oddaljenega upravljanja delovne postaje in prenosa dodatnih modulov. Marca letos smo že
Pošiljka je poslana z različnih naslovov in v telesu pisma vsebuje povezavo do ogroženih spletnih virov s komponentami WordPress. Povezava vsebuje arhiv s skriptom v Javascriptu. Kot rezultat njegove izvedbe se šifrirnik Troldesh prenese in zažene.
Večina varnostnih orodij ne zazna zlonamernih e-poštnih sporočil, ker vsebujejo povezavo do zakonitega spletnega vira, vendar izsiljevalsko programsko opremo trenutno zazna večina proizvajalcev protivirusne programske opreme. Opomba: ker zlonamerna programska oprema komunicira s strežniki C&C, ki se nahajajo v omrežju Tor, je potencialno možno prenesti dodatne zunanje module za nalaganje na okuženi stroj, ki ga lahko "obogate".
Nekatere splošne značilnosti tega glasila vključujejo:
(1) primer teme glasila - "O naročanju"
(2) vse povezave so si navzven podobne – vsebujejo ključni besedi /wp-content/ in /doc/, na primer:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) zlonamerna programska oprema dostopa do različnih nadzornih strežnikov prek Tor
(4) ustvarjena je datoteka Ime datoteke: C:ProgramDataWindowscsrss.exe, registrirana v registru v veji SOFTWAREMicrosoftWindowsCurrentVersionRun (ime parametra - Client Server Runtime Subsystem).
Priporočamo, da poskrbite za posodobljenost podatkovnih baz protivirusne programske opreme, razmislite o obveščanju zaposlenih o tej grožnji in, če je mogoče, okrepite nadzor nad dohodnimi pismi z zgoraj navedenimi simptomi.
Vir: www.habr.com