Cover Image

Il malware Ensiko ricco di funzionalità può crittografare, puntare Windows, macOS e Linux

28 Luglio 2020 - Tempo di lettura: 10 minuti

I ricercatori delle minacce hanno scoperto un nuovo malware ricco di funzionalità in grado di crittografare i file su qualsiasi sistema che esegue PHP, rendendolo un rischio elevato per i server Web Windows, macOS e Linux.

Il malware ha ricevuto il nome Ensiko ed è una shell web scritta in PHP. Gli aggressori possono utilizzarlo per controllare in remoto un sistema compromesso ed eseguire una serie di attività dannose.

Varietà di opzioni

Dall'ampio elenco di funzionalità di Ensiko, il componente di crittografia dei file si distingue in quanto può essere utilizzato per attacchi ransomware contro i server.

I ricercatori di Trend Micro hanno analizzato il malware e hanno scoperto che utilizza la cifra simmetrica Rijnadel-128 in modalità CBC per crittografare i file. Di seguito è riportato il codice responsabile del blocco e dello sblocco dei dati:

Ensiko crittografa i file in una directory della shell Web e nelle sottodirectory e aggiunge l'estensione .BAK ai file elaborati.

ricercatori hanno scoperto che il malware può essere protetto da password per un accesso sicuro ed evitare un rilevamento come è accaduto la scorsa settimana con Emotet quando qualcuno ha sostituito i payload del malware con meme.

L'autenticazione con questa shell Web non è semplice. Lo sviluppatore ha nascosto il modulo di accesso in una pagina "Non trovato". Per il campione analizzato, la chiave di accesso è "RaBiitch".

Per espandere le capacità, Ensiko può caricare diversi strumenti che il malware scarica da Pastebin e li archivia in una directory denominata "tools_ensikology".

Una delle funzioni del malware si chiama Steganologer, che può identificare i file di immagine che hanno codice nei loro metadati (intestazioni EXIF). Il codice viene quindi estratto ed eseguito sul server compromesso.

L'analista di malware Trend Micro Aliakbar Zahravi ha scoperto che Ensiko può anche verificare se su un host remoto è presente una shell Web da un elenco predefinito. Un'altra funzione di scansione chiamata Remote File Check consente all'operatore di cercare file arbitrari su un sistema remoto.

Un'altra funzione di questo strumento dannoso consente la sovrascrittura ricorsiva di tutti i file con un'estensione specificata in una directory di una shell Web.

Le capacità di Ensiko, tuttavia, non si fermano a questo. Il malware consente agli attori delle minacce di eseguire attacchi di forza bruta su FTP, cPanel e Telnet, consentendo così un accesso esteso.

Nell'immagine sotto puoi vedere cosa fornisce la web shell Ensiko, oltre a un elenco completo delle funzionalità compilate da Zahravi:

intopic.it