Mula sa simula ngayon hanggang sa kasalukuyan, ang mga eksperto ng JSOC CERT ay nakapagtala ng napakalaking malisyosong pamamahagi ng Troldesh encrypting virus. Ang functionality nito ay mas malawak kaysa sa isang encryptor: bilang karagdagan sa encryption module, mayroon itong kakayahang malayuang kontrolin ang isang workstation at mag-download ng mga karagdagang module. Sa Marso ng taong ito kami na tungkol sa epidemya ng Troldesh - pagkatapos ay tinakpan ng virus ang paghahatid nito gamit ang mga IoT device. Ngayon, ang mga mahihinang bersyon ng WordPress at ang interface ng cgi-bin ay ginagamit para dito.
Ang pag-mail ay ipinapadala mula sa iba't ibang mga address at naglalaman sa katawan ng liham ng isang link sa mga nakompromisong mapagkukunan ng web na may mga bahagi ng WordPress. Ang link ay naglalaman ng isang archive na naglalaman ng isang script sa Javascript. Bilang resulta ng pagpapatupad nito, ang Troldesh encryptor ay nai-download at inilunsad.
Ang mga nakakahamak na email ay hindi nakikita ng karamihan sa mga tool sa seguridad dahil naglalaman ang mga ito ng link sa isang lehitimong mapagkukunan sa web, ngunit ang ransomware mismo ay kasalukuyang natukoy ng karamihan sa mga manufacturer ng antivirus software. Tandaan: dahil nakikipag-ugnayan ang malware sa mga server ng C&C na matatagpuan sa network ng Tor, posibleng mag-download ng mga karagdagang external na module ng pag-load sa nahawaang makina na maaaring "magpayaman" dito.
Ang ilan sa mga pangkalahatang tampok ng newsletter na ito ay kinabibilangan ng:
(1) halimbawa ng paksa ng newsletter - "Tungkol sa pag-order"
(2) lahat ng mga link ay panlabas na magkatulad - naglalaman ang mga ito ng mga keyword na /wp-content/ at /doc/, halimbawa:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) ina-access ng malware ang iba't ibang mga control server sa pamamagitan ng Tor
(4) nilikha ang isang file Filename: C:ProgramDataWindowscsrss.exe, nakarehistro sa registry sa SOFTWAREMicrosoftWindowsCurrentVersionRun branch (pangalan ng parameter - Client Server Runtime Subsystem).
Inirerekumenda namin na tiyaking napapanahon ang iyong mga database ng software ng anti-virus, isinasaalang-alang ang pagpapaalam sa mga empleyado tungkol sa banta na ito, at gayundin, kung maaari, pagpapalakas ng kontrol sa mga papasok na liham na may mga sintomas sa itaas.
Pinagmulan: www.habr.com