Prohoster > Blog > quản lý > Troldesh trong chiếc mặt nạ mới: một làn sóng gửi thư hàng loạt khác của virus ransomware

Troldesh trong chiếc mặt nạ mới: một làn sóng gửi thư hàng loạt khác của virus ransomware

Từ đầu ngày hôm nay đến nay, các chuyên gia của JSOC CERT đã ghi nhận một đợt phát tán độc hại quy mô lớn của virus mã hóa Troldesh. Chức năng của nó rộng hơn chức năng của một bộ mã hóa: ngoài mô-đun mã hóa, nó còn có khả năng điều khiển từ xa máy trạm và tải xuống các mô-đun bổ sung. Vào tháng 3 năm nay chúng tôi đã nắm được tin tức về đại dịch Troldesh - sau đó virus đã che dấu sự lây lan của nó bằng các thiết bị IoT. Giờ đây, các phiên bản dễ bị tấn công của WordPress và giao diện cgi-bin được sử dụng cho việc này.

Troldesh trong chiếc mặt nạ mới: một làn sóng gửi thư hàng loạt khác của virus ransomware

Thư được gửi từ các địa chỉ khác nhau và chứa trong nội dung bức thư một liên kết đến các tài nguyên web bị xâm phạm với các thành phần WordPress. Liên kết chứa một kho lưu trữ chứa tập lệnh trong Javascript. Kết quả của quá trình thực thi là bộ mã hóa Troldesh được tải xuống và khởi chạy.

Hầu hết các công cụ bảo mật không phát hiện được các email độc hại vì chúng chứa liên kết đến tài nguyên web hợp pháp, nhưng bản thân phần mềm ransomware hiện được hầu hết các nhà sản xuất phần mềm chống vi-rút phát hiện. Lưu ý: do phần mềm độc hại giao tiếp với máy chủ C&C nằm trên mạng Tor nên có khả năng tải xuống các mô-đun tải bên ngoài bổ sung về máy bị nhiễm để “làm phong phú” nó.

Một số đặc điểm chung của bản tin này bao gồm:

(1) ví dụ về chủ đề bản tin - “Giới thiệu về việc đặt hàng”

(2) tất cả các liên kết bên ngoài đều giống nhau - chúng chứa các từ khóa /wp-content/ và /doc/, ví dụ:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-học viện[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/

(3) phần mềm độc hại truy cập vào nhiều máy chủ điều khiển khác nhau thông qua Tor

(4) một tệp được tạo Tên tệp: C:ProgramDataWindowscsrss.exe, được đăng ký trong sổ đăng ký trong nhánh SOFTWAREMicrosoftWindowsCurrentVersionRun (tên tham số - Hệ thống con thời gian chạy máy chủ khách hàng).

Chúng tôi khuyên bạn nên đảm bảo rằng cơ sở dữ liệu phần mềm chống vi-rút của bạn được cập nhật, xem xét việc thông báo cho nhân viên về mối đe dọa này và, nếu có thể, tăng cường kiểm soát các thư đến có các triệu chứng trên.

Nguồn: www.habr.com

Thêm một lời nhận xét