Depuis le début d'aujourd'hui jusqu'à aujourd'hui, les experts JSOC CERT ont enregistré une énorme distribution malveillante du virus rançongiciel Troldesh. Sa fonctionnalité est plus large que celle d'un chiffreur: en plus du module de chiffrement, il a la possibilité de contrôler à distance un poste de travail et de recharger des modules supplémentaires. En mars de cette année, nous avons déjà
informé de l'épidémie de Troldesh - puis le virus a masqué sa transmission à l'aide d'appareils IoT. Désormais, des versions vulnérables de WordPress et de l'interface cgi-bin sont utilisées pour cela.
La newsletter est réalisée à partir d'adresses différentes et contient dans le corps de la lettre un lien vers des ressources Web compromises avec des composants WordPress. Le lien contient une archive contenant un script en langage Javascript. À la suite de son exécution, le ransomware Troldesh est téléchargé et lancé.
Les messages malveillants ne sont pas détectés par la plupart des outils de protection, car ils contiennent un lien vers une ressource Web légitime, mais le chiffreur lui-même est actuellement détecté par la plupart des fabricants de logiciels antivirus. Remarque: étant donné que le malware communique avec les serveurs C&C situés sur le réseau Tor, il est potentiellement possible de télécharger des modules de chargement externes supplémentaires sur la machine infectée qui peuvent «l'enrichir».
Parmi les signes communs de cette newsletter, vous pouvez noter:
(1) Un exemple de sujet de newsletter - «À propos de la commande»
(2) tous les liens ont une similitude externe - ils contiennent les mots-clés / wp-content / et / doc /, par exemple:
Horsesmouth [.] Org / wp-content / themes / InspiredBits / images / dummy / doc / doc /
www.montessori-academy [.] org / wp-content / themes / campus / mythology-core / core-assets / images / social-icons / long-shadow / doc /
chestnutplacejp [.] com / wp-content / ai1wm-backups / doc /
(3) Accès aux logiciels malveillants via différents serveurs de gestion Tor c
(4) le fichier Nom de fichier est créé: C: \ ProgramData \ Windows \ csrss.exe, il est enregistré dans le registre dans la branche SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run (le nom du paramètre est Client Server Runtime Subsystem).
Nous vous recommandons de vérifier la pertinence des bases de données des outils logiciels antivirus, d'envisager d'informer les employés de cette menace et, si possible, de resserrer le contrôle sur les e-mails entrants avec les signes ci-dessus.