Malware Capoae nainstaluje backdoor plugin na weby WordPress

Odborníci na Akamai napsat že malware Capoae proniká na stránky WordPress, nainstaluje plugin se zadními vrátky, a poté systém využívá k těžbě kryptoměny.

Expert Larry Cashdollar varuje že hlavní taktika takového malwaru se šíří zranitelnými systémy, stejně jako prolomení nespolehlivých pověření správce. Studovaný vzorek malwaru Keshdollar pojmenovaný Capoae.

Tento malware je doručován hostitelům, kteří používají WordPress, pomocí pluginu pro sledování stahování se zadními vrátky, které počítačoví zločinci instalují na stránky po úspěšném brutálním vynucení přihlašovacích údajů.

Útok také zahrnuje nasazení a binární pro Golang, přičemž zmatené užitečné zatížení je získáno prostřednictvím požadavku GET, který škodlivý plugin vytvoří v doméně útočníka.

Malware může také dešifrovat a spouštět další užitečné zátěže: v podstatě, binární soubor Golang využívá různé zranitelnosti RCE Věštec Server WebLogic (CVE-2020-14882), Žádné (CVE-2018-20062) a Jenkins (CVE-2019-1003029 a CVE-2019-1003030) za účelem hrubé síly a nejen propracování se do systému a nakonec spuštění XMRig horník.

Útočníci nezapomínají, že musí jednat nepozorovaně. Udělat toto, používají nejvíce podezřele vypadající cesty na disku a adresářích, kde lze nalézt skutečné systémové soubory, a také vytvořit soubor s náhodným šestimístným názvem, který je poté zkopírován na jiné místo (před odstraněním malwaru po spuštění).

Dovolte mi připomenout, že jsem to také napsal Vědci varovali před novým ransomwarem DarkRadiation.