Исследователи в области безопасности предупреждают администраторов сайтов, работающих на базе CMS-платформ WordPress и Joomla, о появлении нового вредоносного ПО, маскирующегося под нормальные файлы ionCube. Киберпреступники используют зловред, названный ionCube Malware, для создания бэкдоров на уязвимых веб-сайтах, через которые они могут красть данные или размещать другие вредоносные программы.

По словам исследователей, через две недели после обнаружения вредоносной программы она была найдена более чем на 800 сайтах компаний преимущественно малого бизнеса, использующих CMS-платформы WordPress, Joomla и CodeIgniter. По данным компании SiteLock, которая первой выявила вредонос, программа является уникальной, поскольку закодирована и отформатирована так, чтобы выглядеть, как обычный файл ionCube.

IonCube — это коммерческий шифратор PHP, который преобразует текстовые файлы PHP, используемые для создания динамического содержимого на веб-сайтах, в не поддающийся расшифровке код. Этот скремблер чаще всего применяется для защиты интеллектуальной собственности, ассоциированной с файлами PHP, распространяемыми по лицензии.

Уэстон Генри (Weston Henry), ведущий исследователь-аналитик компании SiteLock, заявил, что зловред ionCube Malware похож на вредоносные запросы PHP eval, закодированные по base64, которые нацелены на функции PHP веб-сайтов и скрываются внутри мошеннических дополнительных модулей CMS-платформ. Eval — это функция PHP, которая способна выполнять произвольный код PHP. Она часто используется хакерами для создания лазеек на веб-сайтах.

«С такой тактикой мы никогда раньше не сталкивались. Нам встречалось множество образцов вредоносного ПО, которые маскировались под определенные модули Joomla или WordPress. Но ionCube является законным инструментом для кодирования и шифрования, — отметил Генри. — Поэтому когда плохие парни прячут зловред внутри поддельных файлов ionCube, это равносильно созданию бэкдор-доступа к веб-сайту с помощью функции eval».

Генри добавил также, что пока не ясно, как 800 сайтов были заражены вредоносным ПО ionCube, хотя он подозревает, что, скорее всего, это связано с использованием устаревших плагинов или программного обеспечения CMS-платформ. «Из того, что мы видели, есть основания полагать, что этот зловред может затронуть любой сайт, имеющий уязвимость, которую злоумышленник смог выявить и использовать. Это очень сложно обнаружить, особенно на сайтах, где уже используются службы ionCube», — подчеркнул Генри.

Исследователи сообщили, что известные образцы зловреда назывались diff98.php и wrgcduzk.php и находились в основных каталогах WordPress. Дальнейший анализ показал, что вредоносные файлы ionCube содержат малозаметные отличия от «чистых» — например, поддельную строку il_exec вместо правильной _il_exec.

«По нашим наблюдениям, в настоящих файлах ionCube в той или иной форме присутствует ссылка на имя домена ioncube.com. В фальшивках же она отсутствует. Также отметим, что в подделках содержится блок кода после закрывающих тегов PHP — точно так же, как в оригиналах. Но, в отличие от подлинника, этот блок кода состоит только из алфавитно-цифровых символов и переносов строк», — сказано в блог-записи SiteLock.

Что касается мер защиты, то помимо более тщательного анализа файлов ionCube компания SiteLock советует администраторам сайтов регулярно обновлять все плагины и сами платформы.

Категории: Аналитика, Вредоносные программы, Главное