Den skadliga programvaran Capoae installerar ett bakdörrsprogram på WordPress -webbplatser

Akamai experter skriva att Capoae -skadlig kod infiltrerar WordPress -webbplatser, installerar ett plugin med en bakdörr på, och använder sedan systemet för att bryta kryptovaluta.

Expert Larry Cashdollar varnar att huvudtaktiken för sådan skadlig kod sprids genom sårbara system, samt att knäcka opålitliga administratörsuppgifter. Det studerade urvalet av skadlig programvara som heter Keshdollar Capoae.

ASCII

ladda ner-monitor

Denna skadliga program levereras till värdar som kör WordPress via plug-in för nedladdningsövervakning med en bakdörr, som cyberbrottslingar installerar på webbplatser efter att ha framgångsrikt brutalt tvingat referenser.

Attacken innebär också att en binärt till Golang, varigenom den fördunklade nyttolasten hämtas via en GET -begäran, som det skadliga pluginet gör till angriparens domän.

Skadlig programvara kan också dekryptera och köra andra nyttolaster: i grund och botten, Golang -binäran utnyttjar olika RCE -sårbarheter i Orakel WebLogic Server (CVE-2020-14882), IngenCms (CVE-2018-20062) och Jenkins (CVE-2019-1003029 och CVE-2019-1003030) för att brute kraft och inte bara arbeta sig in i systemet och i slutändan starta XMRig gruvarbetare.

Angripare glömmer inte bort att de måste agera obemärkt. Att göra detta, de använder de mest misstänkta sökvägarna på disken och kataloger där riktiga systemfiler kan hittas, och skapa också en fil med ett slumpmässigt sexsiffrigt namn, som sedan kopieras till en annan plats (innan du tar bort skadlig programvara efter körning).

Användningen av flera sårbarheter och taktik i Capoae -kampanjen understryker hur allvarligt operatörerna är [av denna skadliga program] tänker få fotfäste i så många system som möjligt. Den goda nyheten är att samma säkerhetsmetoder som vi rekommenderar för de flesta organisationer fortfarande fungerar här. Använd inte svaga eller standarduppgifter för servrar eller applikationer som används där. Se till att hålla dina program uppdaterade med de senaste säkerhetsåtgärderna och kontrollera dem då och dåsummerar experten.

Låt mig påminna dig om att jag också skrev det Forskare varnade för ny DarkRadiation-ransomware.

Helga Smith

Jag var alltid intresserad av datavetenskap, särskilt datasäkerhet och temat, som kallas nuförtiden "datavetenskap", sedan mina tidiga tonåringar. Innan du kommer in i Virusborttagningsteamet som chefredaktör, Jag arbetade som cybersäkerhetsexpert i flera företag, inklusive en av Amazons entreprenörer. En annan upplevelse: Jag har undervisning vid universitet i Arden och Reading.

Lämna ett svar

Denna webbplats använder Akismet att minska mängden skräppost. Lär dig hur din kommentar data bearbetas.

Tillbaka till toppen