З початку сьогоднішнього дня і до сьогодні експерти JSOC CERT фіксують масове шкідливе розсилання вірусу-шифрувальника Troldesh. Його функціональність ширша, ніж просто у шифрувальника: крім модуля шифрування в ньому є можливість віддаленого керування робочою станцією та дозавантаження додаткових модулів. У березні цього року ми вже про епідемію Troldesh – тоді вірус маскував свою доставку за допомогою IoT-пристроїв. Тепер для цього використовуються вразливі версії WordPress та інтерфейсу cgi-bin.
Розсилка ведеться з різних адрес і містить у тілі листи посилання на компрометовані web-ресурси з компонентами WordPress. За посиланням міститься архів, що містить скрипт на мові Javascript. В результаті його виконання скачується і запускається шифрувальник Troldesh.
Шкідливі листи не детектуються більшістю засобів захисту, оскільки містять посилання на легітимний web-ресурс, проте сам шифрувальник на даний момент детектується більшістю виробників засобів антивірусного програмного забезпечення. Зазначимо: так як шкідливість спілкується з C&C-серверами, розташованими в мережі Tor, потенційно можливе скачування на заражену машину додаткових зовнішніх модулів навантаження, здатних збагатити його.
Із загальних ознак даної розсилки можна назвати:
(1) приклад теми розсилки - «Про замовлення»
(2) всі посилання мають зовнішню схожість - містять ключові слова /wp-content/ і /doc/, наприклад:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) шкідливість звертається через Tor c різними серверами управління
(4) створюється файл Filename: C:ProgramDataWindowscsrss.exe, у реєстрі прописується у гілці SOFTWAREMicrosoftWindowsCurrentVersionRun (ім'я параметра - Client Server Runtime Subsystem).
Ми рекомендуємо переконатися в актуальності баз засобів антивірусного програмного забезпечення, розглянути можливість інформування співробітників про цю загрозу, а також по можливості посилити контроль за вхідними листами із зазначеними вище ознаками.
Джерело: habr.com