Il malware Ensiko ricco di funzionalità può crittografare, puntare Windows, macOS e Linux

Il malware Ensiko ricco di funzionalità può crittografare, puntare Windows, macOS e Linux

I ricercatori delle minacce hanno scoperto un nuovo malware ricco di funzionalità in grado di crittografare i file su qualsiasi sistema che esegue PHP, rendendolo un rischio elevato per i server Web Windows, macOS e Linux.

Il malware ha ricevuto il nome Ensiko ed è una shell web scritta in PHP. Gli aggressori possono utilizzarlo per controllare in remoto un sistema compromesso ed eseguire una serie di attività dannose.

Varietà di opzioni

Dall'ampio elenco di funzionalità di Ensiko, il componente di crittografia dei file si distingue in quanto può essere utilizzato per attacchi ransomware contro i server.

I ricercatori di Trend Micro hanno analizzato il malware e hanno scoperto che utilizza la cifra simmetrica Rijnadel-128 in modalità CBC per crittografare i file. Di seguito è riportato il codice responsabile del blocco e dello sblocco dei dati:

Ensiko crittografa i file in una directory della shell Web e nelle sottodirectory e aggiunge l'estensione .BAK ai file elaborati.

ricercatori hanno scoperto che il malware può essere protetto da password per un accesso sicuro ed evitare un rilevamento come è accaduto la scorsa settimana con Emotet quando qualcuno ha sostituito i payload del malware con meme.

L'autenticazione con questa shell Web non è semplice. Lo sviluppatore ha nascosto il modulo di accesso in una pagina "Non trovato". Per il campione analizzato, la chiave di accesso è "RaBiitch".

Per espandere le capacità, Ensiko può caricare diversi strumenti che il malware scarica da Pastebin e li archivia in una directory denominata "tools_ensikology".

Una delle funzioni del malware si chiama Steganologer, che può identificare i file di immagine che hanno codice nei loro metadati (intestazioni EXIF). Il codice viene quindi estratto ed eseguito sul server compromesso.

L'analista di malware Trend Micro Aliakbar Zahravi ha scoperto che Ensiko può anche verificare se su un host remoto è presente una shell Web da un elenco predefinito. Un'altra funzione di scansione chiamata Remote File Check consente all'operatore di cercare file arbitrari su un sistema remoto.

Un'altra funzione di questo strumento dannoso consente la sovrascrittura ricorsiva di tutti i file con un'estensione specificata in una directory di una shell Web.

Le capacità di Ensiko, tuttavia, non si fermano a questo. Il malware consente agli attori delle minacce di eseguire attacchi di forza bruta su FTP, cPanel e Telnet, consentendo così un accesso esteso.

Nell'immagine sotto puoi vedere cosa fornisce la web shell Ensiko, oltre a un elenco completo delle funzionalità compilate da Zahravi:

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.