ក្រុមអ្នកស្រាវជ្រាវរកឃើញថា PHP web shell ថ្មីដែលមានឈ្មោះហៅថា  Ensiko ភ្ជាប់ជាមួយនឹងមេរោគ ransomware ដែលអាចធ្វើការវាយប្រហារទៅលើ PHP ដែលធ្វើការតម្លើងនៅលើ platforms ជាច្រើនដូចជា Linux, Windows, macOS និងជាច្រើនទៀត។ សម្រាប់មេរោគ malware នេះគឺផ្តល់នូវការបញ្ជាពីចម្ងាយ និងការទទួលយកនូវ Commands ជាច្រើនចេញពីអ្នកវាយប្រហារតាមរយៈ  PHP reverse shell ។

មេរោគ  malware នេះគឺការពារដោយលេខសម្ងាត់ វាមានការបង្ហាញនូវទំព័រ (not found page) ជាមួយនឹងទម្រង់នៃការ login form ដែលលាក់ថែមទៀត។ វាប្រើប្រាស់នូវ  RIJNDAEL_128 ជាមួយនឹង CBC mode ដើម្បីធ្វើការអ៊ីនគ្រីបទៅលើ Files នៅក្នុង web directories និង “.bak” extension ថែមទៀត។

តួអង្គគំរាមកំហែងជាច្រើនក៏ប្រើប្រាស់នូវបច្ចេកទេសនៅក្នុងការលាក់នូវកូដនេះនៅក្នុង  exchangeable image file format (EXIF) headers នៃ file រូបភាពផងដែរ។ មេរោគ malware នេះមានវិធីសាស្រ្តចំនួន ២ នៅក្នុងការស្កេន៖

Backdoor Scan –ការស្កេនទៅលើ web shell ចេញពីបញ្ចីនៃ hardcoded list។

Remote server scan – ការឆែកមើលទៅលើ web server សម្រាប់ web shells ជាច្រើនទៀត។

តាមរយៈការចាក់បញ្ចូលនូវ Ensiko web shell នេះ អ្នកវាយប្រហារជាច្រើនអាចធ្វើការដំណើរការនូវការបញ្ជាពីចម្ងាយ remote administration, file encryption និងមុខងារជាច្រើនទៀតដើម្បីធ្វើការសម្របសម្រួលទៅលើ Web Server នេះ៕