Le malware Capoae installe un plugin de porte dérobée sur les sites WordPress
Les experts d'Akamai écrivez que le malware Capoae infiltre les sites WordPress, installe un plugin avec une porte dérobée sur eux, puis utilise le système pour extraire la crypto-monnaie.
Expert Larry Cashdollar met en garde que la principale tactique de ces logiciels malveillants se propage à travers des systèmes vulnérables, ainsi que le craquage des informations d'identification d'administrateur peu fiables. L'échantillon étudié du malware Keshdollar nommé Capoae.
Ce malware est livré aux hôtes exécutant WordPress via le plugin download-monitor avec une porte dérobée, que les cybercriminels installent sur les sites après avoir réussi à forcer les identifiants.
L'attaque implique également le déploiement d'un binaire vers Golang, par lequel la charge utile obscurcie est récupérée via une requête GET, que le plugin malveillant fait au domaine de l'attaquant.
Le malware peut également déchiffrer et exécuter d'autres charges utiles: fondamentalement, le binaire Golang exploite diverses vulnérabilités RCE dans Oracle Serveur WebLogic (CVE-2020-14882), AucunCms (CVE-2018-20062) et Jenkins (CVE-2019-1003029 et CVE-2019-1003030) afin de forcer brutalement et non seulement de se frayer un chemin dans le système et finalement de lancer le XMRig mineur.
Les attaquants n'oublient pas qu'ils doivent passer inaperçus. Pour faire ça, ils utilisent les chemins les plus suspects sur le disque et les répertoires où les fichiers système réels peuvent être trouvés, et créez également un fichier avec un nom aléatoire à six chiffres, qui est ensuite copié dans un autre emplacement (avant de supprimer le malware après exécution).
Permettez-moi de vous rappeler que j'ai également écrit que Des chercheurs avertis du nouveau ransomware DarkRadiation.