Новое вредоносное ПО маскируется под файлы IonCube
Исследователи безопасности из компании SiteLock предупредили администраторов сайтов на WordPress и Joomla о новом вредоносном ПО, маскирующемся под легитимные файлы ionCube. Вредоносная программа, получившая название ionCube Malware, используется киберпреступниками для создания бэкдоров на уязвимых web-сайтах, позволяя им похищать данные или устанавливать дополнительные вредоносы.
По словам исследователей, вредоносное ПО было обнаружено на более чем 800 сайтах, принадлежащих небольшим компаниям, работающих на платформах CMS WordPress, Joomla и CodeIgniter. Отличительной особенностью вредоноса является возможность маскировки под легитимный файл ionCube.
Как отметил ведущий аналитик SiteLock Уэстон Генри (Weston Henry), ionCube Malware похож на вредоносные закодированные в base64 PHP eval запросы, которые нацелены на PHP-функции и скрываются внутри плагинов CMS. Eval представляет собой функцию PHP, способную выполнять произвольный PHP-код и часто используется хакерами для создания бэкдоров на web-сайтах.
«Мы никогда раньше не сталкивались с подобной тактикой. Мы видели массу образцов вредоносных программ, которые пытались выглядеть как конкретные файлы Joomla или WordPress. Однако ionCube является легитимным инструментом кодирования и шифрования, поэтому, когда злоумышленники обфусцируют вредоносное ПО под видом файлов ionCube, оно получает доступ к web-сайту», - отметили специалисты.
По словам экспертов, идентифицированные образцы diff98.php и wrgcduzk.php были найдены в основных каталогах WordPress.
Для защиты от вредоноса исследователи рекомендуют обновить все плагины CMS и программное обеспечение.
IonCube - набор утилит для командной строки, которые позволяют производить кодирование, обфускацию и лицензирование исходного кода, написанного на языке php.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш