Die Capoae-Malware installiert ein Backdoor-Plugin auf WordPress-Sites

Akamai-Experten schreiben dass Capoae-Malware WordPress-Sites infiltriert, installiert ein Plugin mit einer Hintertür darauf, und verwendet dann das System, um Kryptowährungen zu minen.

Experte Larry Cashdollar warnt dass die Haupttaktik solcher Malware die Verbreitung über anfällige Systeme ist, sowie das Knacken unzuverlässiger Administratoranmeldeinformationen. Die untersuchte Stichprobe der Malware namens Keshdollar Capoae.

ASCII

Download-Monitor

Diese Malware wird über das Download-Monitor-Plugin mit einer Hintertür an Hosts geliefert, die WordPress ausführen, welche Cyberkriminellen auf Websites installieren, nachdem sie erfolgreich Zugangsdaten erzwungen haben.

Der Angriff beinhaltet auch den Einsatz eines binär zu Golang, wobei die verschleierte Nutzlast über eine GET-Anfrage abgerufen wird, die das bösartige Plugin zur Domain des Angreifers macht.

Die Malware kann auch andere Payloads entschlüsseln und ausführen: Grundsätzlich, die Golang-Binärdatei nutzt verschiedene RCE-Schwachstellen in Orakel WebLogic-Server (CVE-2020-14882), KeineCms (CVE-2018-20062) und Jenkins (CVE-2019-1003029 und CVE-2019-1003030) um mit brachialer Gewalt zu arbeiten und sich nicht nur in das System einzuarbeiten und schließlich die XMRig Bergmann.

Angreifer vergessen nicht, dass sie unbemerkt agieren müssen. Um dies zu tun, Sie verwenden die am verdächtigsten aussehenden Pfade auf der Festplatte und Verzeichnissen, in denen echte Systemdateien gefunden werden können, und erstelle auch eine Datei mit einem zufälligen sechsstelligen Namen, die dann an einen anderen Ort kopiert wird (bevor Sie die Malware nach der Ausführung löschen).

Der Einsatz mehrerer Schwachstellen und Taktiken in der Capoae-Kampagne unterstreicht, wie ernst es den Betreibern ist [dieser Malware] in möglichst vielen Systemen Fuß fassen wollen. Die gute Nachricht ist, dass hier immer noch die gleichen Sicherheitsmethoden funktionieren, die wir für die meisten Unternehmen empfehlen. Verwenden Sie keine schwachen oder standardmäßigen Anmeldeinformationen für dort bereitgestellte Server oder Anwendungen. Stellen Sie sicher, dass Ihre Anwendungen mit den neuesten Sicherheitsupdates auf dem neuesten Stand sind und überprüfen Sie sie von Zeit zu Zeitder Experte fasst zusammen.

Lass mich dich daran erinnern, dass ich das auch geschrieben habe Forscher warnten vor neuer DarkRadiation-Ransomware.

Helga Smith

Ich habe mich schon immer für Informatik interessiert, insbesondere Datensicherheit und das Thema, das heißt heute "Datenwissenschaft", seit meiner frühen Jugend. Bevor Sie als Chefredakteur in das Virus Removal Team eintreten, Ich habe als Cybersecurity-Experte in mehreren Unternehmen gearbeitet, einschließlich eines der Vertragspartner von Amazon. Eine andere Erfahrung: Ich habe Lehraufträge an den Universitäten Arden und Reading.

Hinterlasse eine Antwort

Diese Seite nutzt Akismet Spam zu reduzieren. Erfahren Sie, wie Sie Ihren Kommentar Daten verarbeitet.

Schaltfläche "Zurück zum Anfang"