Il malware Capoae installa un plugin backdoor sui siti WordPress
Esperti Akamai Scrivi che il malware Capoae si infiltra nei siti WordPress, installa un plugin con una backdoor su di loro, e quindi utilizza il sistema per estrarre criptovaluta.
Esperto Larry Cashdollar avverte che la tattica principale di tale malware si sta diffondendo attraverso sistemi vulnerabili, oltre a decifrare credenziali di amministratore inaffidabili. Il campione studiato del malware chiamato Keshdollar Capoae.
Questo malware viene consegnato agli host che eseguono WordPress tramite il plug-in di monitoraggio del download con una backdoor, che i criminali informatici installano sui siti dopo aver forzato con successo le credenziali.
L'attacco prevede anche il dispiegamento di a binario in Golang, per cui il payload offuscato viene recuperato tramite una richiesta GET, che il plugin dannoso fa al dominio dell'attaccante.
Il malware può anche decrittografare ed eseguire altri payload: fondamentalmente, il binario Golang sfrutta varie vulnerabilità RCE in Oracolo Server WebLogic (CVE-2020-14882), NessunoCms (CVE-2018-20062) e Jenkins (CVE-2019-1003029 e CVE-2019-1003030) al fine di usare la forza bruta e non solo farsi strada nel sistema e infine lanciare il XMRig minatore.
Gli aggressori non dimenticano che devono agire inosservati. Per fare questo, usano i percorsi più sospetti sul disco e le directory in cui è possibile trovare i file di sistema reali, e crea anche un file con un nome a sei cifre casuale, che viene poi copiato in un'altra posizione (prima di eliminare il malware dopo l'esecuzione).
Vi ricordo che l'ho anche scritto I ricercatori hanno avvertito del nuovo ransomware DarkRadiation.