С начала сегодняшнего дня и по настоящее время эксперты JSOC CERT фиксируют массовую вредоносную рассылку вируса-шифровальщика Troldesh. Его функциональность шире, чем просто у шифровальщика: помимо модуля шифрования в нем есть возможность удаленного управления рабочей станцией и дозагрузки дополнительных модулей. В марте этого года мы уже информировали об эпидемии Troldesh — тогда вирус маскировал свою доставку с помощью IoT-устройств. Теперь же для этого используются уязвимые версии WordPress и интерфейса cgi-bin.
Рассылка ведется с разных адресов и содержит в теле письма ссылку на скомпрометированные web-ресурсы с компонентами WordPress. По ссылке располагается архив, содержащей скрипт на языке Javascript. В результате его исполнения скачивается и запускается шифровальщик Troldesh.
Вредоносные письма не детектируются большинством средств защиты, так как содержат ссылку на легитимный web-ресурс, однако сам шифровальщик на текущий момент детектируется большинством производителей средств антивирусного ПО. Отметим: так как вредонос общается с C&C-серверами, расположенными в сети Tor, потенциально возможно скачивание на зараженную машину дополнительных внешних модулей нагрузки, способных «обогатить» его.
Из общих признаков данной рассылки можно отметить:
(1) пример темы рассылки — «О заказе»
(2) все ссылки имеют внешнее сходство — содержат ключевые слова /wp-content/ и /doc/, например:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-academy[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) вредонос обращается через Tor c различными серверами управления
(4) создается файл Filename: C:\ProgramData\Windows\csrss.exe, в реестре прописывается в ветке SOFTWARE\Microsoft\Windows\CurrentVersion\Run (имя параметра — Client Server Runtime Subsystem).
Мы рекомендуем убедиться в актуальности баз средств антивирусного ПО, рассмотреть возможность информирования сотрудников о данной угрозе, а также по возможности усилить контроль за входящими письмами с указанными выше признаками.
Рассылка ведется с разных адресов и содержит в теле письма ссылку на скомпрометированные web-ресурсы с компонентами WordPress. По ссылке располагается архив, содержащей скрипт на языке Javascript. В результате его исполнения скачивается и запускается шифровальщик Troldesh.
Вредоносные письма не детектируются большинством средств защиты, так как содержат ссылку на легитимный web-ресурс, однако сам шифровальщик на текущий момент детектируется большинством производителей средств антивирусного ПО. Отметим: так как вредонос общается с C&C-серверами, расположенными в сети Tor, потенциально возможно скачивание на зараженную машину дополнительных внешних модулей нагрузки, способных «обогатить» его.
Из общих признаков данной рассылки можно отметить:
(1) пример темы рассылки — «О заказе»
(2) все ссылки имеют внешнее сходство — содержат ключевые слова /wp-content/ и /doc/, например:
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
www.montessori-academy[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(3) вредонос обращается через Tor c различными серверами управления
(4) создается файл Filename: C:\ProgramData\Windows\csrss.exe, в реестре прописывается в ветке SOFTWARE\Microsoft\Windows\CurrentVersion\Run (имя параметра — Client Server Runtime Subsystem).
Мы рекомендуем убедиться в актуальности баз средств антивирусного ПО, рассмотреть возможность информирования сотрудников о данной угрозе, а также по возможности усилить контроль за входящими письмами с указанными выше признаками.
