Новое вредоносное ПО маскируется под файлы IonCube

Новое вредоносное ПО маскируется под файлы IonCube

Вредоносное ПО было обнаружено на более чем 800 сайтах, принадлежащих небольшим компаниям.

image

Исследователи безопасности из компании SiteLock предупредили администраторов сайтов на WordPress и Joomla о новом вредоносном ПО, маскирующемся под легитимные файлы ionCube. Вредоносная программа, получившая название ionCube Malware, используется киберпреступниками для создания бэкдоров на уязвимых web-сайтах, позволяя им похищать данные или устанавливать дополнительные вредоносы.

По словам исследователей, вредоносное ПО было обнаружено на более чем 800 сайтах, принадлежащих небольшим компаниям, работающих на платформах CMS WordPress, Joomla и CodeIgniter. Отличительной особенностью вредоноса является возможность маскировки под легитимный файл ionCube.

Как отметил ведущий аналитик SiteLock Уэстон Генри (Weston Henry), ionCube Malware похож на вредоносные закодированные в base64 PHP eval запросы, которые нацелены на PHP-функции и скрываются внутри плагинов CMS. Eval представляет собой функцию PHP, способную выполнять произвольный PHP-код и часто используется хакерами для создания бэкдоров на web-сайтах.

«Мы никогда раньше не сталкивались с подобной тактикой. Мы видели массу образцов вредоносных программ, которые пытались выглядеть как конкретные файлы Joomla или WordPress. Однако ionCube является легитимным инструментом кодирования и шифрования, поэтому, когда злоумышленники обфусцируют вредоносное ПО под видом файлов ionCube, оно получает доступ к web-сайту», - отметили специалисты.

По словам экспертов, идентифицированные образцы diff98.php и wrgcduzk.php были найдены в основных каталогах WordPress.

Для защиты от вредоноса исследователи рекомендуют обновить все плагины CMS и программное обеспечение.

IonCube - набор утилит для командной строки, которые позволяют производить кодирование, обфускацию и лицензирование исходного кода, написанного на языке php.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle