Malware Capoae instaluje wtyczkę backdoora na stronach WordPress

Eksperci Akamai pisać że malware Capoae infiltruje witryny WordPress, instaluje na nich wtyczkę z tylnym wejściem, a następnie wykorzystuje system do kopania kryptowalut.

Ekspert Larry Cashdollar ostrzega że główną taktyką takiego złośliwego oprogramowania jest rozprzestrzenianie się za pośrednictwem podatnych systemów, a także łamanie niewiarygodnych danych uwierzytelniających administratora. Badana próbka złośliwego oprogramowania o nazwie Keshdollar Capoae.

ASCII

monitor pobierania

To złośliwe oprogramowanie jest dostarczane do hostów z systemem WordPress za pośrednictwem wtyczki monitora pobierania z tylnym wejściem, które cyberprzestępcy instalują na stronach po pomyślnym wymuszeniu danych uwierzytelniających?.

Atak obejmuje również rozmieszczenie binarny na Golang, przy czym zaciemniony ładunek jest pobierany za pomocą żądania GET, które złośliwa wtyczka wprowadza do domeny atakującego.

Złośliwe oprogramowanie może również odszyfrowywać i uruchamiać inne ładunki: gruntownie, plik binarny Golang wykorzystuje różne luki w RCE w Wyrocznia Serwer WebLogic (CVE-2020-14882), Brak CMS (CVE-2018-20062) i Jenkins (CVE-2019-1003029 i CVE-2019-1003030) w celu użycia brutalnej siły, a nie tylko przedostania się do systemu i ostatecznego uruchomienia XMRig górnik.

Atakujący nie zapominają, że muszą działać niezauważeni. Aby to zrobić, używają najbardziej podejrzanie wyglądających ścieżek na dysku i katalogów, w których można znaleźć prawdziwe pliki systemowe, a także utwórz plik z losową sześciocyfrową nazwą, który jest następnie kopiowany do innej lokalizacji (przed usunięciem złośliwego oprogramowania po wykonaniu).

Wykorzystanie wielu luk i taktyk w kampanii Capoae podkreśla, jak poważnie operatorzy [tego złośliwego oprogramowania] zamierzają zdobyć przyczółek w jak największej liczbie systemów. Dobrą wiadomością jest to, że nadal działają te same metody zabezpieczeń, które zalecamy dla większości organizacji. Nie używaj słabych lub domyślnych poświadczeń dla serwerów lub aplikacji tam wdrożonych. Upewnij się, że Twoje aplikacje są na bieżąco z najnowszymi poprawkami bezpieczeństwa i sprawdzaj je od czasu do czasuekspert podsumowuje.

Przypomnę, że ja też tak napisałem Badacze ostrzegają przed nowym oprogramowaniem ransomware DarkRadiation.

Helga Smith

Zawsze interesowałem się informatyką, zwłaszcza bezpieczeństwo danych i motyw, który nazywa się obecnie "nauka o danych", od moich wczesnych lat nastoletnich. Przed dołączeniem do zespołu usuwania wirusów jako redaktor naczelny, Pracowałem jako ekspert ds. cyberbezpieczeństwa w kilku firmach, w tym jeden z kontrahentów Amazona. Kolejne doświadczenie: Uczę na uniwersytetach Arden i Reading.

Zostaw odpowiedź

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

Przycisk Powrót do góry