Desde o início de hoje até o presente, os especialistas do JSOC CERT registraram uma enorme distribuição maliciosa do vírus Troldesh ransomware. Sua funcionalidade é mais ampla que a de um criptografador: além do módulo de criptografia, ele tem a capacidade de controlar remotamente uma estação de trabalho e recarregar módulos adicionais. Em março deste ano, já
informamos sobre a epidemia de Troldesh - então o vírus mascarou sua entrega usando dispositivos IoT. Agora, versões vulneráveis do WordPress e a interface cgi-bin são usadas para isso.
O boletim é conduzido a partir de endereços diferentes e contém no corpo da carta um link para recursos da Web comprometidos com componentes do WordPress. O link contém um arquivo que contém um script na linguagem Javascript. Como resultado de sua execução, o ransomware Troldesh é baixado e iniciado.
As mensagens maliciosas não são detectadas pela maioria das ferramentas de proteção, pois contêm um link para um recurso legítimo da Web, mas o próprio criptografador é atualmente detectado pela maioria dos fabricantes de software antivírus. Nota: como o malware se comunica com os servidores C&C localizados na rede Tor, é potencialmente possível fazer o download de módulos de carga externos adicionais na máquina infectada, que podem “enriquecer”.
Dos sinais comuns deste boletim, você pode observar:
(1) Um exemplo de tópico de boletim informativo - "Sobre o pedido"
(2) todos os links têm uma semelhança externa - eles contêm as palavras-chave / wp-content / e / doc /, por exemplo:
Conteúdo original [.] Org / wp-content / themes / InspiredBits / images / dummy / doc / doc /
www.montessori-academy [.] org / wp-content / themes / campus / mythology-core / core-assets / images / social-icons / long-shadow / doc /
chestnutplacejp [.] com / wp-content / ai1wm-backups / doc /
(3) acesso a malware através do Tor c de vários servidores de gerenciamento
(4) o arquivo Nome do arquivo é criado: C: \ ProgramData \ Windows \ csrss.exe, é registrado no registro na ramificação SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run (o nome do parâmetro é Client Server Runtime Subsystem).
Recomendamos que você verifique a relevância dos bancos de dados de software antivírus, considere informar os funcionários sobre essa ameaça e, se possível, restrinja o controle dos emails recebidos com os sinais acima.