Desde el comienzo de hoy hasta el presente, los expertos de JSOC CERT han registrado una distribución maliciosa masiva del virus Troldesh ransomware. Su funcionalidad es más amplia que la de un cifrador: además del módulo de cifrado, tiene la capacidad de controlar de forma remota una estación de trabajo y recargar módulos adicionales. En marzo de este año, ya
informamos sobre la epidemia de Troldesh, luego el virus enmascaró su entrega utilizando dispositivos IoT. Ahora, se utilizan versiones vulnerables de WordPress y la interfaz cgi-bin para esto.
El boletín se realiza desde diferentes direcciones y contiene en el cuerpo de la carta un enlace a recursos web comprometidos con componentes de WordPress. El enlace contiene un archivo que contiene un script en el lenguaje Javascript. Como resultado de su ejecución, el ransomware Troldesh se descarga y se inicia.
La mayoría de las herramientas de protección no detectan mensajes maliciosos, ya que contienen un enlace a un recurso web legítimo, pero la mayoría de los fabricantes de software antivirus detectan el cifrador en sí. Nota: dado que el malware se comunica con los servidores de C&C ubicados en la red Tor, es posible descargar módulos de carga externos adicionales a la máquina infectada que pueden "enriquecerlo".
De los signos comunes de este boletín, puede observar:
(1) Un ejemplo de un tema del boletín informativo: "Acerca del pedido"
(2) todos los enlaces tienen una similitud externa: contienen las palabras clave / wp-content / y / doc /, por ejemplo:
Horsesmouth [.] Org / wp-content / themes / InspiredBits / images / dummy / doc / doc /
www.montessori-academy [.] org / wp-content / themes / campus / mythology-core / core-assets / images / social-icons / long-shadow / doc /
chestnutplacejp [.] com / wp-content / ai1wm-backups / doc /
(3) accesos de malware a través de varios servidores de administración de Tor c
(4) el archivo Filename se crea: C: \ ProgramData \ Windows \ csrss.exe, está escrito en el registro en la rama SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run (el nombre del parámetro es Client Server Runtime Subsystem).
Recomendamos que verifique la relevancia de las bases de datos de las herramientas de software antivirus, considere informar a los empleados sobre esta amenaza y, si es posible, refuerce el control sobre los correos electrónicos entrantes con los signos anteriores.