ตั้งแต่เริ่มต้นของวันนี้จนถึงปัจจุบัน ผู้เชี่ยวชาญของ JSOC CERT ได้บันทึกการแพร่กระจายไวรัสเข้ารหัส Troldesh ที่เป็นอันตรายจำนวนมหาศาล ฟังก์ชันการทำงานนั้นกว้างกว่าตัวเข้ารหัส: นอกเหนือจากโมดูลการเข้ารหัสแล้ว ยังมีความสามารถในการควบคุมเวิร์กสเตชันจากระยะไกลและดาวน์โหลดโมดูลเพิ่มเติม ในเดือนมีนาคมของปีนี้เราก็แล้ว
การส่งจดหมายถูกส่งจากที่อยู่ที่แตกต่างกันและมีลิงก์ไปยังทรัพยากรบนเว็บที่ถูกบุกรุกด้วยส่วนประกอบของ WordPress ในส่วนเนื้อหาของจดหมาย ลิงก์นี้มีไฟล์เก็บถาวรที่มีสคริปต์ใน Javascript จากการดำเนินการ ตัวเข้ารหัส Troldesh จะถูกดาวน์โหลดและเปิดใช้งาน
เครื่องมือรักษาความปลอดภัยส่วนใหญ่ตรวจไม่พบอีเมลที่เป็นอันตรายเนื่องจากมีลิงก์ไปยังแหล่งข้อมูลบนเว็บที่ถูกต้อง แต่ปัจจุบันผู้ผลิตซอฟต์แวร์ป้องกันไวรัสส่วนใหญ่ตรวจพบแรนซัมแวร์เอง หมายเหตุ: เนื่องจากมัลแวร์สื่อสารกับเซิร์ฟเวอร์ C&C ที่อยู่บนเครือข่าย Tor จึงมีความเป็นไปได้ที่จะดาวน์โหลดโมดูลโหลดภายนอกเพิ่มเติมไปยังเครื่องที่ติดไวรัสซึ่งสามารถ "เพิ่มคุณค่า" ให้กับมันได้
ลักษณะทั่วไปบางประการของจดหมายข่าวนี้ได้แก่:
(1) ตัวอย่างหัวข้อจดหมายข่าว - “เกี่ยวกับการสั่งซื้อ”
(2) ลิงก์ทั้งหมดมีลักษณะภายนอกคล้ายกัน - มีคำหลัก /wp-content/ และ /doc/ เช่น:
Horsesmouth [.]org/wp-content/themes/InspireBits/images/dummy/doc/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) มัลแวร์เข้าถึงเซิร์ฟเวอร์ควบคุมต่างๆ ผ่าน Tor
(4) ไฟล์ถูกสร้างขึ้น ชื่อไฟล์: C:ProgramDataWindowscsrss.exe ซึ่งลงทะเบียนในรีจิสทรีในสาขา SOFTWAREMicrosoftWindowsCurrentVersionRun (ชื่อพารามิเตอร์ - ระบบย่อยรันไทม์เซิร์ฟเวอร์ไคลเอ็นต์)
เราขอแนะนำให้ตรวจสอบให้แน่ใจว่าฐานข้อมูลซอฟต์แวร์ป้องกันไวรัสของคุณเป็นปัจจุบัน โดยพิจารณาแจ้งพนักงานเกี่ยวกับภัยคุกคามนี้ และหากเป็นไปได้ ควรปรับปรุงการควบคุมจดหมายขาเข้าที่มีอาการข้างต้นด้วย
ที่มา: will.com