Το κακόβουλο λογισμικό Capoae εγκαθιστά ένα πρόσθετο backdoor σε ιστότοπους WordPress
Ειδικοί Akamai γράφω ότι το κακόβουλο λογισμικό Capoae διεισδύει σε ιστότοπους WordPress, εγκαθιστά ένα plugin με μια πίσω πόρτα πάνω τους, και στη συνέχεια χρησιμοποιεί το σύστημα για εξόρυξη κρυπτονομίσματος.
Ειδικός Λάρι Κάσντολαρ προειδοποιεί ότι η κύρια τακτική ενός τέτοιου κακόβουλου λογισμικού εξαπλώνεται μέσω ευάλωτων συστημάτων, καθώς και το σπάσιμο αναξιόπιστων διαπιστευτηρίων διαχειριστή. Το μελετημένο δείγμα του κακόβουλου λογισμικού που ονομάζεται Keshdollar Capoae.
Αυτό το κακόβουλο λογισμικό παραδίδεται σε κεντρικούς υπολογιστές με WordPress μέσω της προσθήκης λήψης-οθόνης με μια πίσω πόρτα, που εγκληματίες στον κυβερνοχώρο εγκαθιστούν σε ιστότοπους μετά από επιτυχημένα διαπιστευτήρια βίαιης επιβολής.
Η επίθεση περιλαμβάνει επίσης την ανάπτυξη ενός δυαδικό στο Golang, μέσω του οποίου το ασαφές ωφέλιμο φορτίο ανακτάται μέσω αιτήματος GET, που κάνει το κακόβουλο πρόσθετο στον τομέα του εισβολέα.
Το κακόβουλο λογισμικό μπορεί επίσης να αποκρυπτογραφήσει και να εκτελέσει άλλα ωφέλιμα φορτία: βασικα, το δυαδικό Golang εκμεταλλεύεται διάφορες ευπάθειες RCE στο Μαντείο Διακομιστής WebLogic (CVE-2020-14882), NoneCms (CVE-2018-20062) και Τζένκινς (CVE-2019-1003029 και CVE-2019-1003030) προκειμένου να ωθήσει τη δύναμη και όχι μόνο να εισέλθει στο σύστημα και τελικά να ξεκινήσει το σύστημα XMRig μεταλλωρύχος.
Οι επιτιθέμενοι δεν ξεχνούν ότι πρέπει να ενεργήσουν απαρατήρητοι. Για να το κάνω αυτό, χρησιμοποιούν τις πιο ύποπτες διαδρομές στο δίσκο και καταλόγους όπου μπορούν να βρεθούν πραγματικά αρχεία συστήματος, και επίσης να δημιουργήσετε ένα αρχείο με τυχαίο εξαψήφιο όνομα, το οποίο στη συνέχεια αντιγράφεται σε άλλη θέση (πριν διαγράψετε το κακόβουλο λογισμικό μετά την εκτέλεση).
Επιτρέψτε μου να σας υπενθυμίσω ότι το έγραψα και αυτό Οι ερευνητές προειδοποίησαν για νέο ransomware DarkRadiation.
