Le malware Capoae installe un plugin de porte dérobée sur les sites WordPress

Les experts d'Akamai écrivez que le malware Capoae infiltre les sites WordPress, installe un plugin avec une porte dérobée sur eux, puis utilise le système pour extraire la crypto-monnaie.

Expert Larry Cashdollar met en garde que la principale tactique de ces logiciels malveillants se propage à travers des systèmes vulnérables, ainsi que le craquage des informations d'identification d'administrateur peu fiables. L'échantillon étudié du malware Keshdollar nommé Capoae.

ASCII

télécharger-moniteur

Ce malware est livré aux hôtes exécutant WordPress via le plugin download-monitor avec une porte dérobée, que les cybercriminels installent sur les sites après avoir réussi à forcer les identifiants.

L'attaque implique également le déploiement d'un binaire vers Golang, par lequel la charge utile obscurcie est récupérée via une requête GET, que le plugin malveillant fait au domaine de l'attaquant.

Le malware peut également déchiffrer et exécuter d'autres charges utiles: fondamentalement, le binaire Golang exploite diverses vulnérabilités RCE dans Oracle Serveur WebLogic (CVE-2020-14882), AucunCms (CVE-2018-20062) et Jenkins (CVE-2019-1003029 et CVE-2019-1003030) afin de forcer brutalement et non seulement de se frayer un chemin dans le système et finalement de lancer le XMRig mineur.

Les attaquants n'oublient pas qu'ils doivent passer inaperçus. Pour faire ça, ils utilisent les chemins les plus suspects sur le disque et les répertoires où les fichiers système réels peuvent être trouvés, et créez également un fichier avec un nom aléatoire à six chiffres, qui est ensuite copié dans un autre emplacement (avant de supprimer le malware après exécution).

L'utilisation de multiples vulnérabilités et tactiques dans la campagne Capoae souligne à quel point les opérateurs sont sérieux [de ce malware] ont l'intention de prendre pied dans autant de systèmes que possible. La bonne nouvelle est que les mêmes méthodes de sécurité que nous recommandons pour la plupart des organisations fonctionnent toujours ici.. N'utilisez pas d'informations d'identification faibles ou par défaut pour les serveurs ou les applications qui y sont déployés. Assurez-vous de maintenir vos applications à jour avec les derniers correctifs de sécurité et vérifiez-les de temps en tempsl'expert résume.

Permettez-moi de vous rappeler que j'ai également écrit que Des chercheurs avertis du nouveau ransomware DarkRadiation.

Helga Smith

J'ai toujours été intéressé par l'informatique, en particulier la sécurité des données et le thème, qui s'appelle de nos jours "science des données", depuis mon adolescence. Avant de rejoindre l'équipe de suppression de virus en tant que rédacteur en chef, J'ai travaillé comme expert en cybersécurité dans plusieurs entreprises, dont l'un des sous-traitants d'Amazon. Une autre expérience: J'ai enseigné dans les universités d'Arden et de Reading.

Laisser un commentaire

Ce site utilise Akismet pour réduire le spam. Découvrez comment vos données de commentaire est traité.

Bouton retour en haut de la page