Malware Capoae instaluje wtyczkę backdoora na stronach WordPress
Eksperci Akamai pisać że malware Capoae infiltruje witryny WordPress, instaluje na nich wtyczkę z tylnym wejściem, a następnie wykorzystuje system do kopania kryptowalut.
Ekspert Larry Cashdollar ostrzega że główną taktyką takiego złośliwego oprogramowania jest rozprzestrzenianie się za pośrednictwem podatnych systemów, a także łamanie niewiarygodnych danych uwierzytelniających administratora. Badana próbka złośliwego oprogramowania o nazwie Keshdollar Capoae.
To złośliwe oprogramowanie jest dostarczane do hostów z systemem WordPress za pośrednictwem wtyczki monitora pobierania z tylnym wejściem, które cyberprzestępcy instalują na stronach po pomyślnym wymuszeniu danych uwierzytelniających?.
Atak obejmuje również rozmieszczenie binarny na Golang, przy czym zaciemniony ładunek jest pobierany za pomocą żądania GET, które złośliwa wtyczka wprowadza do domeny atakującego.
Złośliwe oprogramowanie może również odszyfrowywać i uruchamiać inne ładunki: gruntownie, plik binarny Golang wykorzystuje różne luki w RCE w Wyrocznia Serwer WebLogic (CVE-2020-14882), Brak CMS (CVE-2018-20062) i Jenkins (CVE-2019-1003029 i CVE-2019-1003030) w celu użycia brutalnej siły, a nie tylko przedostania się do systemu i ostatecznego uruchomienia XMRig górnik.
Atakujący nie zapominają, że muszą działać niezauważeni. Aby to zrobić, używają najbardziej podejrzanie wyglądających ścieżek na dysku i katalogów, w których można znaleźć prawdziwe pliki systemowe, a także utwórz plik z losową sześciocyfrową nazwą, który jest następnie kopiowany do innej lokalizacji (przed usunięciem złośliwego oprogramowania po wykonaniu).
Przypomnę, że ja też tak napisałem Badacze ostrzegają przed nowym oprogramowaniem ransomware DarkRadiation.
