Cientos de sitios infectados, basados en Joomla, WordPress y CodeIgniter

Investigadores de Seguridad de la firma SiteLock han descubierto cientos de sitios que han sido infectados con el malware ionCube.


Investigadores de Seguridad de SiteLock han descubierto que cientos de sitios web han sido infectado con malware, el cual se enmascara como archivos legítimos de IonCube.

IonCubre es una tecnología de codificación que se utiliza para proteger software PHP para que no sea visto, modificado que pueda correr en computadores no licenciados.

Los expertos estuvieron analizando un sitio web con Wordpress que estaba infectado y descubrieron un numero sospechoso de archivos ofuscados, como eran "diff98.php" y "wrgcduzk.php", aparentemente son casi idénticos a los archivos originales. El estudio concluyo que son cientos de sitios que estarían infectados con este mismo malware.

"Mientras se revisaba un sitio infectado, el equipo de investigadores de SiteLock, encontró un número de sospechosos archivos, nombrados y ofuscados que aparentaban ser casi idénticos a los archivos de IonCube originales. Nosotros determinamos que los archivos sospechosos de ionCube, se pueden encontrar en cientos de sitios y en cientos de archivos infectados", se puede leer en el estudio publicado.

"En general, nuestra investigación encontró sobre 700 sitios infectados, haciendo un total de mas de 7000 archivos infectados."

El análisis revelo que los atacantes comprometieron sitios basados en Joomla y CodeIgniter.


Los investigadores también indicaron algunas recomendaciones para mitigar el malware ionCube, ellos sugieren a los administradores revisar si existen archivos codificados ya que es un indicador de compromiso.

Si la infección es detectada, se recomienda la revisión completa del sitio, para poder eliminar la amenaza. Los investigadores también sugieren la adopción de un firewall web (Web Application Firewall WAF)