Ensiko-Malware verschlüsselt Dateien unter Windows, macOS und Linux

Forscher von Trend Micro haben eine neue Multifunktions-Malware entdeckt. Der Ensiko genannte Schädling ist unter anderem in der Lage, auf jeglichen Betriebssystemen, die PHP ausführen, Dateien zu verschlüsseln. Damit ist Ensiko eine große Gefahr für Webserver, die unter Windows, macOS und Linux laufen, wie Bleeping Computer berichtet.

In erster Linie ist Ensiko eine in PHP geschriebene Web Shell. Sie erlaubt es den Angreifern, ein kompromittiertes System aus der Ferne zu steuern und schädliche Aktionen auszuführen. Die Verschlüsselungsfunktion verleiht Ensiko die Fähigkeiten einer Ransomware.

Dateien verschlüsselt die Malware den Forschern zufolge mit einem symmetrischen Rijnadel-128-Code. Verschlüsselte Dateien werden mit der Endung BAK versehen.

Die Anmeldung zu der Web Shell verbergen die Hintermänner in einer „Not Found“-Fehlerseite. Allerdings gelang es den Forschern, den benötigen Zugangsschlüssel zu knacken. Neue Funktionen lädt Ensiko zudem über Pastebin nach. Darunter ist ein Steganologer genanntes Feature, dass es den Hackern erlaubt, Code in Bildern zu verstecken und einschleusen, der anschließend auf dem kompromittierten Server ausgeführt werden kann.

Ensiko soll aber auch in der Lage sein zu prüfen, ob auf dem entfernten Host bereits eine bestimmte Web Shell vorhanden ist. Eine Suchfunktion namens Remote File Check findet indes beliebige Dateien auf dem entfernten System. Darüber hinaus kann Ensiko beliebige Dateien mit einer bestimmten Dateiendung in einem WebShell-Verzeichnis überschreiben.

Die Malware ist aber auch für Brute-Force-Angriffe geeignet, um Anmeldedaten für FTP und Telnet zu erhalten. Zum Funktionsumfang gehören aber auch Massen-E-Mails, die Anzeige von Systeminformationen, der Download von Dateien, die Übernahme von Websites und ein FTP-Manager. Eine Suicide genannte Funktion löscht Ensiko von einem kompromittierten System.