Hơn 700 trang web WordPress và Joomla đã bị nhiễm phần mềm độc hại ionCube ngụy trang thành các tệp được mã hóa ionCube hợp pháp.
IonCube là một Bộ mã hóa PHP cũ và mạnh mẽ được sử dụng để mã hóa và bảo vệ các tệp với khả năng mã hóa, mã hóa, giải mã và cấp phép PHP. Do chi phí cấp phép, ionCube nói chung không phải là đối thủ cho việc sử dụng độc hại.
Tuy nhiên, những kẻ tấn công đã tìm ra cách giả mạo phần mềm độc hại của họ giống với phần mềm độc hại được mã hóa bằng ionCube để xâm nhập các trang web khác nhau. Trong số những trang bị ảnh hưởng là các trang web dựa trên WordPress, Joomla và CodeIgniter. Phần mềm độc hại này cho phép tin tặc tạo một cửa sau trên các trang web dễ bị tấn công, do đó dẫn đến việc đánh cắp dữ liệu từ những người dùng trang web dễ bị tấn công.
Dấu hiệu nhiễm phần mềm độc hại ionCube
Các nhà nghiên cứu đã phát hiện ra hơn 7000 tệp ionCube giả mạo với những cái tên vô hại chạy trên các máy chủ PHP. Theo các nhà nghiên cứu, mặc dù có rất ít dòng tồn tại trong tệp ionCube hợp pháp, nhưng đó không phải là trường hợp của những dòng giả mạo. Hơn nữa, mọi tệp Ioncube hợp pháp đều tham chiếu đến miền ioncube.com. Đó không phải là trường hợp của các tệp giả mạo
Đây là cách một tệp ionCube giả mạo trông như thế nào.
Trong khi tệp ionCube hợp pháp trông như thế này:
Ngoài ra, các nhà nghiên cứu đã phát hiện ra các khối mã sau các thẻ đóng PHP chỉ bao gồm các ký tự chữ và số và dòng mới, không giống như tệp thực. Theo các nhà nghiên cứu:
Một cuộc điều tra cho thấy đã phát hiện ra 700 trang web bị nhiễm, tổng cộng hơn 7.000 tệp bị nhiễm. Các tệp PHP như “diff98.php” và “wrgcduzk.php” về cơ bản là các tệp bị xáo trộn đáng ngờ, gần như giống hệt với các tệp được mã hóa ionCube hợp pháp.
Khi giải mã, tệp ionCube giả bao gồm phần mềm độc hại ionCube. Về mặt lý thuyết, mã độc được tiêm vào có thể lây nhiễm vào bất kỳ trang web nào dựa trên máy chủ web chạy PHP.
Làm thế nào để giảm nhẹ?
Có thể khó phân biệt giữa các tệp ionCube giả và hợp pháp, do có một số lượng lớn các biến thể phần mềm độc hại trên mạng. Hơn nữa, nếu nhà phát triển chưa cài đặt cụ thể các tệp được mã hóa ionCube nhưng tìm thấy các tệp như vậy trên máy chủ của họ thì rất có thể bị nhiễm. Người ta thường thấy tới 100 biến thể hơi khác nhau của phần mềm độc hại trên một trang web. Hơn nữa, khả năng tương thích chéo với các phiên bản PHP khác nhau là rất ít, làm giảm khả năng sử dụng làm phần mềm độc hại.
Phần mềm độc hại ionCube có thể được giảm thiểu. Các nhà nghiên cứu khuyến nghị các quản trị viên nên kiểm tra sự hiện diện của các tệp được mã hóa bằng ionCube như một dấu hiệu của sự thỏa hiệp. Khi phát hiện tích cực, để loại bỏ hoàn toàn mối đe dọa, việc quét toàn bộ trang web là bắt buộc cùng với việc áp dụng tường lửa ứng dụng web (WAF).
Tải xuống miễn phí của chúng tôi Danh sách kiểm tra thực hành mã hóa an toàn dành cho nhà phát triển để đảm bảo rằng trang web của bạn tuân thủ tất cả các khía cạnh của bảo mật mã hóa.
Để giảm thiểu hơn nữa trang web của bạn chống lại các mối đe dọa trực tuyến như vậy, hãy cài đặt Tường lửa bảo mật web của Astra.