El malware Capoae instala un complemento de puerta trasera en los sitios de WordPress
Expertos de Akamai escribir que el malware Capoae se infiltra en los sitios de WordPress, instala un complemento con una puerta trasera en ellos, y luego usa el sistema para minar criptomonedas.
Experto Larry Cashdollar advierte que la principal táctica de este tipo de malware se está propagando a través de sistemas vulnerables, además de descifrar credenciales de administrador poco fiables. La muestra estudiada del malware Keshdollar denominada Capoae.
Este malware se envía a los hosts que ejecutan WordPress a través del complemento de monitor de descargas con una puerta trasera., que los ciberdelincuentes instalan en sitios después de obtener credenciales de fuerza bruta con éxito.
El ataque también implica desplegar un binario a Golang, mediante el cual la carga útil ofuscada se recupera a través de una solicitud GET, que el complemento malicioso crea en el dominio del atacante.
El malware también puede descifrar y ejecutar otras cargas útiles: básicamente, el binario de Golang aprovecha varias vulnerabilidades de RCE en Oráculo Servidor WebLogic (CVE-2020-14882), NingunoCms (CVE-2018-20062) y Jenkins (CVE-2019-1003029 y CVE-2019-1003030) con el fin de utilizar la fuerza bruta y no solo abrirse camino en el sistema y, en última instancia, lanzar el XMRig minero.
Los atacantes no olvidan que deben actuar desapercibidos. Para hacer esto, utilizan las rutas de acceso más sospechosas en el disco y los directorios donde se pueden encontrar archivos reales del sistema, y también crea un archivo con un nombre aleatorio de seis dígitos, que luego se copia en otra ubicación (antes de eliminar el malware después de la ejecución).
Déjame recordarte que también escribí eso Los investigadores advirtieron sobre el nuevo ransomware DarkRadiation.