JSOC CERT uzmanları, günümüzün başlangıcından günümüze kadar Troldesh şifreleme virüsünün büyük miktarda kötü amaçlı dağıtımını kaydetti. İşlevselliği bir şifreleyicininkinden daha geniştir: Şifreleme modülüne ek olarak, bir iş istasyonunu uzaktan kontrol etme ve ek modüller indirme yeteneğine de sahiptir. Bu yılın Mart ayında zaten Troldesh salgını hakkında - daha sonra virüs, IoT cihazlarını kullanarak dağıtımını maskeledi. Artık bunun için WordPress'in savunmasız sürümleri ve cgi-bin arayüzü kullanılıyor.
Posta farklı adreslerden gönderiliyor ve mektubun gövdesinde, WordPress bileşenleri içeren, güvenliği ihlal edilmiş web kaynaklarına giden bir bağlantı bulunuyor. Bağlantı, Javascript'te bir komut dosyası içeren bir arşiv içerir. Yürütülmesinin bir sonucu olarak Troldesh şifreleyici indirilir ve başlatılır.
Kötü amaçlı e-postalar, meşru bir web kaynağına bağlantı içerdiklerinden çoğu güvenlik aracı tarafından algılanmaz, ancak fidye yazılımının kendisi şu anda çoğu antivirüs yazılımı üreticisi tarafından algılanmaktadır. Not: Kötü amaçlı yazılım, Tor ağında bulunan C&C sunucularıyla iletişim kurduğundan, etkilenen makineye, onu "zenginleştirebilecek" ek harici yük modülleri indirmek potansiyel olarak mümkündür.
Bu bültenin genel özelliklerinden bazıları şunlardır:
(1) bülten konusu örneği - “Sipariş hakkında”
(2) tüm bağlantılar harici olarak benzerdir - /wp-content/ ve /doc/ anahtar kelimelerini içerirler, örneğin:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) kötü amaçlı yazılım Tor aracılığıyla çeşitli kontrol sunucularına erişiyor
(4) bir dosya oluşturulur Dosya adı: C:ProgramDataWindowscsrss.exe, SOFTWAREMicrosoftWindowsCurrentVersionRun şubesindeki kayıt defterinde kayıtlıdır (parametre adı - İstemci Sunucusu Çalışma Zamanı Alt Sistemi).
Çalışanlarınızı bu tehdit hakkında bilgilendirmeyi ve ayrıca mümkünse yukarıdaki belirtilerle gelen mektuplar üzerindeki kontrolü güçlendirmeyi de göz önünde bulundurarak antivirüs yazılımı veritabanlarınızın güncel olduğundan emin olmanızı öneririz.
Kaynak: habr.com