Die Capoae-Malware installiert ein Backdoor-Plugin auf WordPress-Sites
Akamai-Experten schreiben dass Capoae-Malware WordPress-Sites infiltriert, installiert ein Plugin mit einer Hintertür darauf, und verwendet dann das System, um Kryptowährungen zu minen.
Experte Larry Cashdollar warnt dass die Haupttaktik solcher Malware die Verbreitung über anfällige Systeme ist, sowie das Knacken unzuverlässiger Administratoranmeldeinformationen. Die untersuchte Stichprobe der Malware namens Keshdollar Capoae.
Diese Malware wird über das Download-Monitor-Plugin mit einer Hintertür an Hosts geliefert, die WordPress ausführen, welche Cyberkriminellen auf Websites installieren, nachdem sie erfolgreich Zugangsdaten erzwungen haben.
Der Angriff beinhaltet auch den Einsatz eines binär zu Golang, wobei die verschleierte Nutzlast über eine GET-Anfrage abgerufen wird, die das bösartige Plugin zur Domain des Angreifers macht.
Die Malware kann auch andere Payloads entschlüsseln und ausführen: Grundsätzlich, die Golang-Binärdatei nutzt verschiedene RCE-Schwachstellen in Orakel WebLogic-Server (CVE-2020-14882), KeineCms (CVE-2018-20062) und Jenkins (CVE-2019-1003029 und CVE-2019-1003030) um mit brachialer Gewalt zu arbeiten und sich nicht nur in das System einzuarbeiten und schließlich die XMRig Bergmann.
Angreifer vergessen nicht, dass sie unbemerkt agieren müssen. Um dies zu tun, Sie verwenden die am verdächtigsten aussehenden Pfade auf der Festplatte und Verzeichnissen, in denen echte Systemdateien gefunden werden können, und erstelle auch eine Datei mit einem zufälligen sechsstelligen Namen, die dann an einen anderen Ort kopiert wird (bevor Sie die Malware nach der Ausführung löschen).
Lass mich dich daran erinnern, dass ich das auch geschrieben habe Forscher warnten vor neuer DarkRadiation-Ransomware.