Den skadliga programvaran Capoae installerar ett bakdörrsprogram på WordPress -webbplatser
Akamai experter skriva att Capoae -skadlig kod infiltrerar WordPress -webbplatser, installerar ett plugin med en bakdörr på, och använder sedan systemet för att bryta kryptovaluta.
Expert Larry Cashdollar varnar att huvudtaktiken för sådan skadlig kod sprids genom sårbara system, samt att knäcka opålitliga administratörsuppgifter. Det studerade urvalet av skadlig programvara som heter Keshdollar Capoae.
Denna skadliga program levereras till värdar som kör WordPress via plug-in för nedladdningsövervakning med en bakdörr, som cyberbrottslingar installerar på webbplatser efter att ha framgångsrikt brutalt tvingat referenser.
Attacken innebär också att en binärt till Golang, varigenom den fördunklade nyttolasten hämtas via en GET -begäran, som det skadliga pluginet gör till angriparens domän.
Skadlig programvara kan också dekryptera och köra andra nyttolaster: i grund och botten, Golang -binäran utnyttjar olika RCE -sårbarheter i Orakel WebLogic Server (CVE-2020-14882), IngenCms (CVE-2018-20062) och Jenkins (CVE-2019-1003029 och CVE-2019-1003030) för att brute kraft och inte bara arbeta sig in i systemet och i slutändan starta XMRig gruvarbetare.
Angripare glömmer inte bort att de måste agera obemärkt. Att göra detta, de använder de mest misstänkta sökvägarna på disken och kataloger där riktiga systemfiler kan hittas, och skapa också en fil med ett slumpmässigt sexsiffrigt namn, som sedan kopieras till en annan plats (innan du tar bort skadlig programvara efter körning).
Låt mig påminna dig om att jag också skrev det Forskare varnade för ny DarkRadiation-ransomware.