Capoae-Malware zielt auf Webserver und WordPress
Cyberkriminelle experimentieren weiterhin aktiv mit Malware, die die Programmiersprache Golang verwendet. Dieser Ansatz hat mehrere Vorteile, aber es gibt zwei Hauptgründe, die ihn für Cyberkriminelle so attraktiv machen. Da Golang eine relativ neue Sprache ist, sind einige Sicherheitstools noch nicht gut genug, um bösartigen Code zu erkennen und zu beenden. Darüber hinaus bietet Golang eine hohe Cross-Plattform-Kompatibilität, ohne nach den Voraussetzungen zu fragen, die beispielsweise JAVA erfordert. Andere Golang-Malware-Familien sind RustyBuer und Klingon RAT . Die Capoae-Malware ist eines der neuesten Golang-Projekte. Dieses spezielle Beispiel verfolgt Webserver und versucht, mehrere bekannte Sicherheitsanfälligkeiten auszunutzen, um Anmeldeinformationen und Berechtigungen zu erhalten.
Die neueste Kampagne der Capoae-Malware zielt auf zwei Hauptschwachstellen ab:
- CVE-2020-14882 – Betrifft veraltete Oracle WebLogic Server-Versionen und führt zu Remote Code Execution (RCE).
- CVE-2018-20062 – betrifft ThinkPHP und ermöglicht es Angreifern auch, Remote-Code auszuführen.
Zusätzlich zu diesen bekannten Exploits verwenden die Kriminellen hinter der Capoae-Malware auch Brute-Force, um Server mit laschen Anmeldeinformationen anzugreifen. Bei einem der betroffenen Systeme wurde die Nutzlast mithilfe eines bösartigen Plug-Ins geliefert, das die Angreifer dank der gestohlenen Zugangsdaten installierten. Das fehlerhafte Add-On namens Download-Monitor betrifft WordPress-Installationen.
Capoae-Malware-Funktionen
Der Zweck dieser Bedrohung besteht darin, eine Nutzlast bereitzustellen, die eine modifizierte Kopie des XMRig-Kryptowährungs-Miners bringt. Diese spezielle Software ist die Nummer 1 unter den Cyberkriminellen, die Kryptojacking-Operationen ausführen möchten. Es nutzt die Ressourcen des infizierten Servers, um nach der Monero-Kryptowährung zu suchen.
Das Fallenlassen des Miners ist jedoch nicht das Ende des Angriffs. Die Capoae-Malware setzt auch Web-Shells ein, die dem Angreifer mehr Kontrolle über den Server gewähren. Die Kriminellen können die infizierten Webserver und WordPress-Installationen nutzen, um das Internet nach weiteren potenziellen Opfern zu durchsuchen.
Um sich vor der Capoae-Malware zu schützen, sind robuste Sicherheitsfunktionen sowie starke Anmeldeinformationen erforderlich. Natürlich ist es auch obligatorisch, die neuesten Updates auf alle mit dem Internet verbundene Software zu installieren, um das Risiko von Angriffen zu reduzieren.