Capoae -skadelig programvare installerer et bakdørsprogram på WordPress -nettsteder

Akamai -eksperter skrive at Capoae malware infiltrerer WordPress -nettsteder, installerer en plugin med en bakdør på, og bruker deretter systemet til å gruve kryptovaluta.

Ekspert Larry Cashdollar advarer at hovedtaktikken for slik malware spres gjennom sårbare systemer, samt å knekke upålitelige administratoropplysninger. Den undersøkte prøven av skadelig programvare som heter Keshdollar Capoae.

ASCII

nedlasting-monitor

Denne skadelige programvaren leveres til verter som kjører WordPress via nedlastingsmonitor-plugin med en bakdør, som cyberkriminelle installerer på nettsteder etter å ha lykkes med brutal tvang.

Angrepet innebærer også distribusjon av en binært til Golang, hvorved den tildekkede nyttelasten hentes opp via en GET -forespørsel, som det ondsinnede pluginet gjør til angriperens domene.

Skadelig programvare kan også dekryptere og utføre andre nyttelaster: i utgangspunktet, Golang -binæren utnytter ulike RCE -sårbarheter i Oracle WebLogic Server (CVE-2020-14882), IngenCms (CVE-2018-20062) og Jenkins (CVE-2019-1003029 og CVE-2019-1003030) for å brute force og ikke bare jobbe seg inn i systemet og til slutt starte XMRig gruvearbeider.

Angriperne glemmer ikke at de må handle ubemerket. Å gjøre dette, de bruker de mest mistenkelige banene på disken og kataloger der ekte systemfiler kan bli funnet, og lag også en fil med et tilfeldig sekssifret navn, som deretter blir kopiert til et annet sted (før du sletter skadelig programvare etter kjøring).

Bruken av flere sårbarheter og taktikker i Capoae -kampanjen understreker hvor alvorlig operatørene er [av denne skadelige programvaren] har til hensikt å få fotfeste i så mange systemer som mulig. Den gode nyheten er at de samme sikkerhetsmetodene som vi anbefaler for de fleste organisasjoner fortsatt fungerer her. Ikke bruk svak eller standard legitimasjon for servere eller applikasjoner som er distribuert der. Sørg for å holde programmene dine oppdatert med de nyeste sikkerhetsrettelsene og sjekke dem fra tid til annenoppsummerer eksperten.

La meg minne deg om at jeg også skrev det Forskere advarte mot ny DarkRadiation -ransomware.

Helga Smith

Jeg var alltid interessert i datavitenskap, spesielt datasikkerhet og temaet, som kalles i våre dager "datavitenskap", siden min tidlige tenåring. Før du kommer inn i Virusfjerningsteamet som sjefredaktør, Jeg jobbet som cybersikkerhetsekspert i flere selskaper, inkludert en av Amazons entreprenører. Nok en opplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Legg igjen et svar

Denne siden bruker Akismet å redusere spam. Lær hvordan din kommentar data behandles.

Tilbake til toppen