Capoae -haittaohjelma asentaa takaoven laajennuksen WordPress -sivustoille
Akamai -asiantuntijat kirjoittaa että Capoae -haittaohjelma tunkeutuu WordPress -sivustoihin, asentaa laajennuksen, jossa on takaovi, ja käyttää sitten järjestelmää kryptovaluutan louhintaan.
Asiantuntija Larry Cashdollar varoittaa että tällaisten haittaohjelmien pääasiallinen taktiikka leviää haavoittuvien järjestelmien kautta, sekä halpojen järjestelmänvalvojan kirjautumistietojen murtaminen. Tutkittu näyte haittaohjelmasta Keshdollar Capoae.
Tämä haittaohjelma toimitetaan WordPressiä käyttäville isännille latausmonitorin kautta, jossa on takaovi, joita verkkorikolliset asentavat sivustoille sen jälkeen, kun he ovat onnistuneet raa'asti pakottamaan kirjautumistiedot.
Hyökkäys sisältää myös a binääri Golangiin, jolloin hämärtynyt hyötykuorma haetaan GET -pyynnön kautta, jonka haitallinen laajennus tekee hyökkääjän verkkotunnukselle.
Haittaohjelma voi myös purkaa salauksen ja suorittaa muita hyötykuormia: pohjimmiltaan, Golangin binaari hyödyntää erilaisia RCE -haavoittuvuuksia Oraakkeli WebLogic -palvelin (CVE-2020-14882), Ei mitään Cms (CVE-2018-20062) ja Jenkins (CVE-2019-1003029 ja CVE-2019-1003030) raa'an voiman vuoksi, eikä vain tunkeutua järjestelmään ja lopulta käynnistää XMRig kaivosmies.
Hyökkääjät eivät unohda, että heidän on toimittava huomaamatta. Tehdä tämä, he käyttävät levyn epäilyttävimpiä polkuja ja hakemistoja, joista löytyy oikeita järjestelmätiedostoja, ja myös luoda tiedosto satunnaisella kuusinumeroisella nimellä, joka kopioidaan sitten toiseen paikkaan (ennen haittaohjelman poistamista suorituksen jälkeen).
Haluan muistuttaa teitä siitä, että kirjoitin myös sen Tutkijat varoittivat uusista DarkRadiation -lunnasohjelmista.
