W internecie pojawiło się nowe zagrożenie noszące nazwę Capoe, które atakuje znaną platformę open-source WordPress, zagnieżdżając na niej złośliwe oprogramowanie realizujące zadanie kopania jednej ze znanych kryptowalut.
Malware został napisany w języku programowania Go i wykorzystuje znane już i opisane podatności znajdujące się w oprogramowaniu RCE (Remote Code Execution), które obsługuje operacje zdalnego wykonywania kodu. Są to podatności CVE-2020-14882 i CVE-2018-20062. Pierwsza znajduje się w Oracle WebLogic Server, a druga w ThinkPHP.
Malware Capoe został namierzony pierwszy raz przez firmę Akamai, co stało się za prawą pułapki „honeypot”, której udało się przechwycić złośliwy kod. Okazało się, że odpowiada on za ataki „brute-force” modyfikujące wtyczkę WordPress noszącą nazwę Download-monitor.
Zobacz również:
Jest to tylko pierwszy etap ataku, gdyż w kolejnym kroku wtyczka instaluje podstawowy złośliwy kod Capoae. Ma on postać spakowanego pliku XMRig o wielkości 3 MB, który jest zapisywany w katalogu /temp. Po rozpakowaniu okazuje się, że jest to klasyczny program używany do kopania kryptowaluty Monero.
Ale to nie wszystko. Oprócz koparki kryptowalut, malware instaluje również na zaatakowanym systemie kilka powłok internetowych, z których jedna jest w stanie przesyłać pliki skradzione z zaatakowanego systemu do skonfigurowanego przez hakera serwera. Koparce towarzyszy też skaner portów, który wyszukuje kolejne ścieżki, przez które malware może atakować następne ofiary.
Zagrożenie jest trudne do wykrycia, a głównymi oznakami mogący świadczyć o tym, że nasz system WordPress został zainfekowany, mogą być takie objawy jak zbyt duże zużycie zasobów systemowych (co przekłada się na wolniejszą pracę systemu) czy też niespotykane wcześniej i dziwnie wyglądające wpisy, jakie mogą pojawiać się w dzienniku zdarzeń platformy.
Zgłoś naruszenie/Błąd
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS