Capoae -skadelig programvare installerer et bakdørsprogram på WordPress -nettsteder

Akamai -eksperter skrive at Capoae malware infiltrerer WordPress -nettsteder, installerer en plugin med en bakdør på, og bruker deretter systemet til å gruve kryptovaluta.

Ekspert Larry Cashdollar advarer at hovedtaktikken for slik malware spres gjennom sårbare systemer, samt å knekke upålitelige administratoropplysninger. Den undersøkte prøven av skadelig programvare som heter Keshdollar Capoae.

Denne skadelige programvaren leveres til verter som kjører WordPress via nedlastingsmonitor-plugin med en bakdør, som cyberkriminelle installerer på nettsteder etter å ha lykkes med brutal tvang.

Angrepet innebærer også distribusjon av en binært til Golang, hvorved den tildekkede nyttelasten hentes opp via en GET -forespørsel, som det ondsinnede pluginet gjør til angriperens domene.

Skadelig programvare kan også dekryptere og utføre andre nyttelaster: i utgangspunktet, Golang -binæren utnytter ulike RCE -sårbarheter i Oracle WebLogic Server (CVE-2020-14882), IngenCms (CVE-2018-20062) og Jenkins (CVE-2019-1003029 og CVE-2019-1003030) for å brute force og ikke bare jobbe seg inn i systemet og til slutt starte XMRig gruvearbeider.

Angriperne glemmer ikke at de må handle ubemerket. Å gjøre dette, de bruker de mest mistenkelige banene på disken og kataloger der ekte systemfiler kan bli funnet, og lag også en fil med et tilfeldig sekssifret navn, som deretter blir kopiert til et annet sted (før du sletter skadelig programvare etter kjøring).

La meg minne deg om at jeg også skrev det Forskere advarte mot ny DarkRadiation -ransomware.