Capoae Malware cible les serveurs Web et WordPress
Les cybercriminels continuent d'expérimenter activement des logiciels malveillants utilisant le langage de programmation Golang. Cette approche présente de multiples avantages, mais il y en a deux principaux qui la rendent si attrayante pour les cybercriminels. Étant donné que Golang est un langage assez nouveau, certains outils de sécurité ne sont pas encore assez bons pour détecter et supprimer le code malveillant. En plus de cela, Golang offre une grande compatibilité multiplateforme sans demander les prérequis exigés par JAVA, par exemple. Les autres familles de logiciels malveillants Golang sont le RustyBuer et le Klingon RAT . Le Malware Capoae est l'un des derniers projets de Golang. Cet exemple particulier s'attaque aux serveurs Web et tente d'utiliser plusieurs vulnérabilités connues pour obtenir des informations d'identification et des autorisations.
La dernière campagne du Malware Capoae cible deux vulnérabilités principales :
- CVE-2020-14882 - affectant les versions obsolètes d'Oracle WebLogic Server et conduisant à l'exécution de code à distance (RCE.)
- CVE-2018-20062 – affecte ThinkPHP et permet également aux attaquants d'exécuter du code à distance.
En plus de ces exploits connus, les criminels derrière le logiciel malveillant Capoae utilisent également la force brute pour cibler des serveurs avec des identifiants de connexion laxistes. L'un des systèmes concernés a reçu la charge utile via l'utilisation d'un plug-in malveillant que les attaquants ont installé grâce aux informations d'identification volées. Le module complémentaire défectueux, surnommé Download-monitor, affecte les installations de WordPress.
Fonctionnalités du logiciel malveillant Capoae
Le but de cette menace est de déployer une charge utile, qui apporte une copie modifiée du mineur de crypto-monnaie XMRig. Ce logiciel particulier est le favori n°1 des cybercriminels qui cherchent à exécuter des opérations de cryptojacking. Il utilise les ressources du serveur infecté pour extraire la crypto-monnaie Monero.
Cependant, laisser tomber le mineur n'est pas la fin de l'attaque. Le logiciel malveillant Capoae déploie également des shells Web, qui accordent à l'attaquant plus de contrôle sur le serveur. Les criminels peuvent utiliser les serveurs Web infectés et les installations WordPress pour rechercher sur Internet d'autres victimes potentielles.
Vous protéger contre le logiciel malveillant Capoae nécessite l'utilisation de fonctionnalités de sécurité robustes, ainsi que de solides identifiants de connexion. Bien entendu, l'application des dernières mises à jour à tous les logiciels connectés à Internet est également obligatoire pour réduire le risque d'attaques.