Capoae -malware installerer et bagdørs plugin på WordPress -websteder

Helga Smithseptember 21, 2021Sidst opdateret: september 21, 2021
49 1 minuts læsning

Akamai -eksperter skrive at Capoae -malware infiltrerer WordPress -websteder, installerer et plugin med en bagdør på, og bruger derefter systemet til at udvinde kryptovaluta.

Ekspert Larry Cashdollar advarer at hovedtaktikken ved sådan malware spredes gennem sårbare systemer, samt krakning af upålidelige administratoroplysninger. Den undersøgte prøve af malware, der hedder Keshdollar Capoae.

ASCII

download-skærm

Denne malware leveres til værter, der kører WordPress via download-monitor plugin med en bagdør, hvilke cyberkriminelle installerer på websteder efter vellykkede brute-force-legitimationsoplysninger.

Angrebet indebærer også indsættelse af en binært til Golang, hvorved den tilslørede nyttelast hentes via en GET -anmodning, som det ondsindede plugin laver til angriberens domæne.

Malwaren kan også dekryptere og udføre andre nyttelast: i bund og grund, Golang -binæren udnytter forskellige RCE -sårbarheder i Oracle WebLogic Server (CVE-2020-14882), IngenCms (CVE-2018-20062) og Jenkins (CVE-2019-1003029 og CVE-2019-1003030) for at brute force og ikke kun arbejde sig ind i systemet og i sidste ende starte XMRig minearbejder.

Angribere glemmer ikke, at de skal handle ubemærket. At gøre dette, de bruger de mest mistænkelige stier på disken og mapper, hvor der kan findes rigtige systemfiler, og opret også en fil med et tilfældigt sekscifret navn, som derefter kopieres til et andet sted (før sletning af malware efter udførelse).

Brugen af ​​flere sårbarheder og taktikker i Capoae -kampagnen understreger, hvor alvorligt operatørerne er [af denne malware] har til hensigt at få fodfæste i så mange systemer som muligt. Den gode nyhed er, at de samme sikkerhedsmetoder, som vi anbefaler for de fleste organisationer, stadig fungerer her. Brug ikke svage eller standardoplysninger til servere eller applikationer, der er installeret der. Sørg for at holde dine applikationer opdaterede med de nyeste sikkerhedsrettelser og kontrollere dem fra tid til andenopsummerer eksperten.

Lad mig minde dig om, at jeg også skrev det Forskere advarede om ny DarkRadiation ransomware.

Mærker
Helga Smithseptember 21, 2021Sidst opdateret: september 21, 2021
49 1 minuts læsning

Helga Smith

Jeg var altid interesseret i datalogi, især datasikkerhed og temaet, som kaldes i dag "datavidenskab", siden mine tidlige teenagere. Før du kommer ind i Virus Removal-teamet som chefredaktør, Jeg arbejdede som cybersikkerhedsekspert i flere virksomheder, inklusive en af ​​Amazons entreprenører. En anden oplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Efterlad et Svar

Dette websted bruger Akismet at reducere spam. Lær hvordan din kommentar data behandles.

Tilbage til toppen knap