De Capoae-malware installeert een backdoor-plug-in op WordPress-sites

Akamai-experts schrijven dat Capoae-malware WordPress-sites infiltreert, installeert een plug-in met een achterdeur erop, en gebruikt vervolgens het systeem om cryptocurrency te minen.

Deskundige Larry Cashdollar waarschuwt dat de belangrijkste tactiek van dergelijke malware zich verspreidt via kwetsbare systemen, evenals het kraken van onbetrouwbare beheerdersreferenties. Het bestudeerde voorbeeld van de malware Keshdollar genaamd Capoae.

ASCII

download-monitor

Deze malware wordt geleverd aan hosts die WordPress draaien via de download-monitor plug-in met een achterdeur, welke cybercriminelen op sites installeren nadat ze met succes inloggegevens hebben geforceerd.

De aanval omvat ook het inzetten van een binair naar Golang, waarbij de versluierde payload wordt opgehaald via een GET-verzoek, die de kwaadaardige plug-in op het domein van de aanvaller plaatst.

De malware kan ook andere payloads decoderen en uitvoeren: eigenlijk, het Golang-binaire bestand maakt gebruik van verschillende RCE-kwetsbaarheden in Orakel WebLogic-server (CVE-2020-14882), GeenCms (CVE-2018-20062) en Jenkins (CVE-2019-1003029 en CVE-2019-1003030) om brute kracht te gebruiken en niet alleen zijn weg naar het systeem te banen en uiteindelijk de XMRig mijnwerker.

Aanvallers vergeten niet dat ze onopgemerkt moeten handelen. Om dit te doen, ze gebruiken de meest verdacht uitziende paden op de schijf en mappen waar echte systeembestanden kunnen worden gevonden, en maak ook een bestand met een willekeurige zescijferige naam, die vervolgens naar een andere locatie wordt gekopieerd (voordat de malware wordt verwijderd na uitvoering).

Het gebruik van meerdere kwetsbaarheden en tactieken in de Capoae-campagne onderstreept hoe serieus de operators [van deze malware] van plan zijn om in zoveel mogelijk systemen voet aan de grond te krijgen. Het goede nieuws is dat dezelfde beveiligingsmethoden die we voor de meeste organisaties aanbevelen, hier nog steeds werken. Gebruik geen zwakke of standaardreferenties voor servers of applicaties die daar zijn geïmplementeerd. Zorg ervoor dat u uw applicaties up-to-date houdt met de nieuwste beveiligingsoplossingen en controleer ze van tijd tot tijdde expert vat samen.

Laat me je eraan herinneren dat ik dat ook schreef Onderzoekers waarschuwden voor nieuwe DarkRadiation-ransomware.

Helga Smith

Ik was altijd al geïnteresseerd in informatica, vooral gegevensbeveiliging en het thema, die tegenwoordig heet "datawetenschap", sinds mijn vroege tienerjaren. Voordat je als hoofdredacteur bij het Virus Removal-team komt, Ik heb bij verschillende bedrijven als cybersecurity-expert gewerkt, waaronder een van Amazon's aannemers. Nog een ervaring: Ik heb les aan de universiteiten van Arden en Reading.

Laat een antwoord achter

Deze website maakt gebruik van Akismet om spam te verminderen. Leer hoe je reactie gegevens worden verwerkt.

Terug naar boven knop