Новое вредоносное ПО маскируется под файлы IonCube

Исследователи безопасности из компании SiteLock предупредили администраторов сайтов на WordPress и Joomla о новом вредоносном ПО, маскирующемся под легитимные файлы ionCube. Вредоносная программа, получившая название ionCube Malware, используется киберпреступниками для создания бэкдоров на уязвимых web-сайтах, позволяя им похищать данные или устанавливать дополнительные вредоносы.

По словам исследователей, вредоносное ПО было обнаружено на более чем 800 сайтах, принадлежащих небольшим компаниям, работающих на платформах CMS WordPress, Joomla и CodeIgniter. Отличительной особенностью вредоноса является возможность маскировки под легитимный файл ionCube.

Как отметил ведущий аналитик SiteLock Уэстон Генри (Weston Henry), ionCube Malware похож на вредоносные закодированные в base64 PHP eval запросы, которые нацелены на PHP-функции и скрываются внутри плагинов CMS. Eval представляет собой функцию PHP, способную выполнять произвольный PHP-код и часто используется хакерами для создания бэкдоров на web-сайтах.

«Мы никогда раньше не сталкивались с подобной тактикой. Мы видели массу образцов вредоносных программ, которые пытались выглядеть как конкретные файлы Joomla или WordPress. Однако ionCube является легитимным инструментом кодирования и шифрования, поэтому, когда злоумышленники обфусцируют вредоносное ПО под видом файлов ionCube, оно получает доступ к web-сайту», - отметили специалисты.

По словам экспертов, идентифицированные образцы diff98.php и wrgcduzk.php были найдены в основных каталогах WordPress.

Для защиты от вредоноса исследователи рекомендуют обновить все плагины CMS и программное обеспечение.

IonCube - набор утилит для командной строки, которые позволяют производить кодирование, обфускацию и лицензирование исходного кода, написанного на языке php.