O malware Capoae instala um plugin backdoor em sites WordPress
Especialistas da Akamai Escreva que o malware Capoae se infiltra em sites WordPress, instala um plugin com um backdoor neles, e então usa o sistema para minerar criptomoeda.
Especialista Larry Cashdollar avisa que a principal tática desse malware está se espalhando por sistemas vulneráveis, bem como quebrar credenciais de administrador não confiáveis. A amostra estudada do malware Keshdollar denominado Capoae.
Este malware é entregue a hosts que executam WordPress por meio do plug-in do monitor de download com um backdoor, quais cibercriminosos instalam em sites depois de credenciais de força bruta com sucesso.
O ataque também envolve a implantação de um binário para Golang, em que a carga ofuscada é recuperada por meio de uma solicitação GET, que o plug-in malicioso faz para o domínio do invasor.
O malware também pode descriptografar e executar outras cargas úteis: basicamente, o binário Golang explora várias vulnerabilidades RCE em Oráculo Servidor WebLogic (CVE-2020-14882), NoneCms (CVE-2018-20062) e Jenkins (CVE-2019-1003029 e CVE-2019-1003030) a fim de obter força bruta e não apenas abrir caminho para o sistema e, finalmente, lançar o XMRig mineiro.
Os atacantes não esquecem que precisam agir despercebidos. Para fazer isso, eles usam os caminhos de aparência mais suspeitos no disco e diretórios onde arquivos de sistema reais podem ser encontrados, e também criar um arquivo com um nome aleatório de seis dígitos, que é então copiado para outro local (antes de excluir o malware após a execução).
Deixe-me lembrá-lo de que também escrevi que Pesquisadores alertaram sobre o novo ransomware DarkRadiation.