Malware Capoae nainstaluje backdoor plugin na weby WordPress

Odborníci na Akamai napsat že malware Capoae proniká na stránky WordPress, nainstaluje plugin se zadními vrátky, a poté systém využívá k těžbě kryptoměny.

Expert Larry Cashdollar varuje že hlavní taktika takového malwaru se šíří zranitelnými systémy, stejně jako prolomení nespolehlivých pověření správce. Studovaný vzorek malwaru Keshdollar pojmenovaný Capoae.

ASCII

monitor pro stahování

Tento malware je doručován hostitelům, kteří používají WordPress, pomocí pluginu pro sledování stahování se zadními vrátky, které počítačoví zločinci instalují na stránky po úspěšném brutálním vynucení přihlašovacích údajů.

Útok také zahrnuje nasazení a binární pro Golang, přičemž zmatené užitečné zatížení je získáno prostřednictvím požadavku GET, který škodlivý plugin vytvoří v doméně útočníka.

Malware může také dešifrovat a spouštět další užitečné zátěže: v podstatě, binární soubor Golang využívá různé zranitelnosti RCE Věštec Server WebLogic (CVE-2020-14882), Žádné (CVE-2018-20062) a Jenkins (CVE-2019-1003029 a CVE-2019-1003030) za účelem hrubé síly a nejen propracování se do systému a nakonec spuštění XMRig horník.

Útočníci nezapomínají, že musí jednat nepozorovaně. Udělat toto, používají nejvíce podezřele vypadající cesty na disku a adresářích, kde lze nalézt skutečné systémové soubory, a také vytvořit soubor s náhodným šestimístným názvem, který je poté zkopírován na jiné místo (před odstraněním malwaru po spuštění).

Využití více zranitelností a taktik v kampani Capoae podtrhuje, jak vážně operátoři [tohoto malwaru] mají v úmyslu prosadit se v co největším počtu systémů. Dobrou zprávou je, že zde stále fungují stejné metody zabezpečení, které doporučujeme pro většinu organizací. Nepoužívejte slabá nebo výchozí pověření pro servery nebo aplikace tam nasazené. Zajistěte, aby byly vaše aplikace aktuální s nejnovějšími opravami zabezpečení, a čas od času je zkontrolujteshrnuje odborník.

Dovolte mi připomenout, že jsem to také napsal Vědci varovali před novým ransomwarem DarkRadiation.

Helga Smith

Vždy mě zajímaly počítačové vědy, zejména zabezpečení dat a téma, kterému se dnes říká "datová věda", od mých raných dospívajících. Před příchodem do týmu pro odstranění virů jako šéfredaktor, Pracoval jsem jako odborník na kybernetickou bezpečnost v několika společnostech, včetně jednoho z dodavatelů Amazonu. Další zkušenost: Mám výuku na univerzitách Arden a Reading.

zanechte odpověď

Tato stránka používá Akismet snížit spam. Přečtěte si, jak se váš komentář údaje zpracovávány.

Tlačítko Zpět nahoru