Il malware Capoae installa un plugin backdoor sui siti WordPress

Esperti Akamai Scrivi che il malware Capoae si infiltra nei siti WordPress, installa un plugin con una backdoor su di loro, e quindi utilizza il sistema per estrarre criptovaluta.

Esperto Larry Cashdollar avverte che la tattica principale di tale malware si sta diffondendo attraverso sistemi vulnerabili, oltre a decifrare credenziali di amministratore inaffidabili. Il campione studiato del malware chiamato Keshdollar Capoae.

ASCII

download-monitor

Questo malware viene consegnato agli host che eseguono WordPress tramite il plug-in di monitoraggio del download con una backdoor, che i criminali informatici installano sui siti dopo aver forzato con successo le credenziali.

L'attacco prevede anche il dispiegamento di a binario in Golang, per cui il payload offuscato viene recuperato tramite una richiesta GET, che il plugin dannoso fa al dominio dell'attaccante.

Il malware può anche decrittografare ed eseguire altri payload: fondamentalmente, il binario Golang sfrutta varie vulnerabilità RCE in Oracolo Server WebLogic (CVE-2020-14882), NessunoCms (CVE-2018-20062) e Jenkins (CVE-2019-1003029 e CVE-2019-1003030) al fine di usare la forza bruta e non solo farsi strada nel sistema e infine lanciare il XMRig minatore.

Gli aggressori non dimenticano che devono agire inosservati. Per fare questo, usano i percorsi più sospetti sul disco e le directory in cui è possibile trovare i file di sistema reali, e crea anche un file con un nome a sei cifre casuale, che viene poi copiato in un'altra posizione (prima di eliminare il malware dopo l'esecuzione).

L'uso di molteplici vulnerabilità e tattiche nella campagna Capoae sottolinea quanto seriamente gli operatori [di questo malware] intendono prendere piede nel maggior numero possibile di sistemi. La buona notizia è che gli stessi metodi di sicurezza che consigliamo per la maggior parte delle organizzazioni funzionano ancora qui. Non utilizzare credenziali deboli o predefinite per i server o le applicazioni implementate lì. Assicurati di mantenere le tue applicazioni aggiornate con le ultime correzioni di sicurezza e controllale di tanto in tantol'esperto riassume.

Vi ricordo che l'ho anche scritto I ricercatori hanno avvertito del nuovo ransomware DarkRadiation.

Helga Smith

Sono sempre stato interessato all'informatica, in particolare la sicurezza dei dati e il tema, che si chiama oggi "scienza dei dati", dalla mia prima adolescenza. Prima di entrare nel team di rimozione virus come caporedattore, Ho lavorato come esperto di sicurezza informatica in diverse aziende, incluso uno degli appaltatori di Amazon. Un'altra esperienza: Ho l'insegnamento nelle università di Arden e Reading.

lascia un commento

Questo sito utilizza Akismet per ridurre lo spam. Scopri come il tuo commento dati vengono elaborati.

Pulsante Torna in alto