ProHoster > Blog > Uprava > Troldesh v novi maski: nov val množičnega pošiljanja virusa izsiljevalske programske opreme

Troldesh v novi maski: nov val množičnega pošiljanja virusa izsiljevalske programske opreme

Od začetka današnjega dne do danes so strokovnjaki JSOC CERT zabeležili množično zlonamerno distribucijo šifrirnega virusa Troldesh. Njegova funkcionalnost je širša od funkcionalnosti šifrirnika: poleg šifrirnega modula ima možnost oddaljenega upravljanja delovne postaje in prenosa dodatnih modulov. Marca letos smo že obveščeni o epidemiji Troldesh - takrat je virus prikril svojo dostavo z napravami IoT. Zdaj se za to uporabljajo ranljive različice WordPressa in vmesnik cgi-bin.

Troldesh v novi maski: nov val množičnega pošiljanja virusa izsiljevalske programske opreme

Pošiljka je poslana z različnih naslovov in v telesu pisma vsebuje povezavo do ogroženih spletnih virov s komponentami WordPress. Povezava vsebuje arhiv s skriptom v Javascriptu. Kot rezultat njegove izvedbe se šifrirnik Troldesh prenese in zažene.

Večina varnostnih orodij ne zazna zlonamernih e-poštnih sporočil, ker vsebujejo povezavo do zakonitega spletnega vira, vendar izsiljevalsko programsko opremo trenutno zazna večina proizvajalcev protivirusne programske opreme. Opomba: ker zlonamerna programska oprema komunicira s strežniki C&C, ki se nahajajo v omrežju Tor, je potencialno možno prenesti dodatne zunanje module za nalaganje na okuženi stroj, ki ga lahko "obogate".

Nekatere splošne značilnosti tega glasila vključujejo:

(1) primer teme glasila - "O naročanju"

(2) vse povezave so si navzven podobne – vsebujejo ključni besedi /wp-content/ in /doc/, na primer:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-akademija[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) zlonamerna programska oprema dostopa do različnih nadzornih strežnikov prek Tor

(4) ustvarjena je datoteka Ime datoteke: C:ProgramDataWindowscsrss.exe, registrirana v registru v veji SOFTWAREMicrosoftWindowsCurrentVersionRun (ime parametra - Client Server Runtime Subsystem).

Priporočamo, da poskrbite za posodobljenost podatkovnih baz protivirusne programske opreme, razmislite o obveščanju zaposlenih o tej grožnji in, če je mogoče, okrepite nadzor nad dohodnimi pismi z zgoraj navedenimi simptomi.

Vir: www.habr.com

Dodaj komentar