El malware Capoae instala un complemento de puerta trasera en los sitios de WordPress

Expertos de Akamai escribir que el malware Capoae se infiltra en los sitios de WordPress, instala un complemento con una puerta trasera en ellos, y luego usa el sistema para minar criptomonedas.

Experto Larry Cashdollar advierte que la principal táctica de este tipo de malware se está propagando a través de sistemas vulnerables, además de descifrar credenciales de administrador poco fiables. La muestra estudiada del malware Keshdollar denominada Capoae.

ASCII

descargar-monitor

Este malware se envía a los hosts que ejecutan WordPress a través del complemento de monitor de descargas con una puerta trasera., que los ciberdelincuentes instalan en sitios después de obtener credenciales de fuerza bruta con éxito.

El ataque también implica desplegar un binario a Golang, mediante el cual la carga útil ofuscada se recupera a través de una solicitud GET, que el complemento malicioso crea en el dominio del atacante.

El malware también puede descifrar y ejecutar otras cargas útiles: básicamente, el binario de Golang aprovecha varias vulnerabilidades de RCE en Oráculo Servidor WebLogic (CVE-2020-14882), NingunoCms (CVE-2018-20062) y Jenkins (CVE-2019-1003029 y CVE-2019-1003030) con el fin de utilizar la fuerza bruta y no solo abrirse camino en el sistema y, en última instancia, lanzar el XMRig minero.

Los atacantes no olvidan que deben actuar desapercibidos. Para hacer esto, utilizan las rutas de acceso más sospechosas en el disco y los directorios donde se pueden encontrar archivos reales del sistema, y también crea un archivo con un nombre aleatorio de seis dígitos, que luego se copia en otra ubicación (antes de eliminar el malware después de la ejecución).

El uso de múltiples vulnerabilidades y tácticas en la campaña de Capoae subraya la seriedad de los operadores [de este malware] tiene la intención de hacerse un hueco en tantos sistemas como sea posible. La buena noticia es que los mismos métodos de seguridad que recomendamos para la mayoría de las organizaciones todavía funcionan aquí.. No use credenciales débiles o predeterminadas para servidores o aplicaciones implementadas allí. Asegúrese de mantener sus aplicaciones actualizadas con las últimas correcciones de seguridad y revíselas de vez en cuandoel experto resume.

Déjame recordarte que también escribí eso Los investigadores advirtieron sobre el nuevo ransomware DarkRadiation.

Helga Smith

Siempre me interesaron las ciencias de la computación., especialmente la seguridad de los datos y el tema, que se llama hoy en día "Ciencia de los datos", desde mi adolescencia. Antes de ingresar al equipo de eliminación de virus como editor en jefe, Trabajé como experto en ciberseguridad en varias empresas., incluido uno de los contratistas de Amazon. Otra experiencia: He enseñado en las universidades de Arden y Reading..

Deja una respuesta

Este sitio utiliza para reducir el spam Akismet. Aprender cómo se procesa sus datos comentario.

Botón volver arriba