Бэкдор эксплуатирует уязвимость в ранних версиях плагина RevSlider

image

Теги: бэкдор, вредоносное ПО, уязвимость

Вредоносное ПО загружает код в «сыром формате» с известного сервиса Pastebin.

Денис Синегубко (Denis Sinegubko), специалист из ИБ-компании Sucuri,  сообщает о бэкдоре, который эксплуатирует уязвимость в ранних версиях плагина RevSlider. Типичный представитель этого вида вредоносного ПО заинтересовал эксперта выбором удаленного сервера для размещения своего кода. Выяснилось, что для хостинга кода был использован web-ресурс Pastebin.

Собственного говоря, злоумышленники использовали Pastebin по его прямому назначению – для обмена фрагментами кода. Pastebin.com позволяет скачивать код в «сыром формате», то есть, без разметки на языке HTML и элементов интерфейса сайта.

Эксперт обращает внимание на то, что для хостинга кода обфусцированной программы на Pastebin. com индонезийские хакеры пользуются специальным кодировщиком под названием PHP Encryptor by Yogyakarta Black Hat (либо by FathurFreakz).

Сервис Pastebin неоднократно использовался для хранения информации, похищенной в результате хакерских атак, в том числе на компанию Sony Pictures. Однако в последнее время, замечает эксперт, участились случаи, когда данный ресурс напрямую задействован в атаках. Прежде чем размещать коды на Pastebin, следует изменять их таким образом, чтобы при загрузке в «сыром» формате они становились неисполняемыми, советует специалист по безопасности. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.