Исследователи наблюдали новую веб-оболочку PHP под названием Ensiko с возможностями программ-вымогателей, которые атакуют PHP, установленные на таких платформах, как Linux, Windows, macOS и других. Вредоносное ПО способно обеспечить удаленный доступ и принимает команды от злоумышленника через обратную оболочку PHP.

Вредоносное ПО защищено паролем, оно отображает не найденную страницу со скрытой формой входа в систему. Он использует RIJNDAEL_128 в режиме CBC для шифрования файлов в веб-каталогах и добавляет расширение «.bak».

Он также удаляет файл index.php и устанавливает его в качестве страницы по умолчанию с помощью файла .htaccess, вредоносное ПО также загружает дополнительные инструменты в зараженную систему.

 

Вредоносное ПО также включает в себя два метода сканирования;

Backdoor Scan - Сканирует наличие веб-оболочки из жестко запрограммированного списка.

Удаленная проверка сервера - Проверяет зараженный веб-сервер на наличие других веб-оболочек.

Также он работает с функцией Mass Overwrite, которая использовалась для перезаписи/доложения содержимого всех файлов с каталогами и подкаталогами.

Вводя веб-оболочку Ensiko, злоумышленник может включить удаленное администрирование, шифрование файлов и многие другие функции на скомпрометированном веб-сервере.

IoC

SHA-256 Хэш

5fdbf87b7f74327e9132b5edb5c217bdcf49fe275945d502ad675c1dd46e3db5