Il malware Capoae prende di mira server Web e WordPress
I criminali informatici stanno continuando a sperimentare attivamente malware che utilizza il linguaggio di programmazione Golang. Questo approccio presenta molteplici vantaggi, ma ve ne sono due principali che lo rendono così attraente per i criminali informatici. Poiché Golang è un linguaggio abbastanza nuovo, alcuni strumenti di sicurezza non sono ancora abbastanza buoni per individuare e terminare il codice dannoso. Oltre a questo, Golang offre una grande compatibilità multipiattaforma senza richiedere i prerequisiti che JAVA, ad esempio, richiede. Altre famiglie di malware Golang sono RustyBuer e Klingon RAT . Il Capoae Malware è uno degli ultimi progetti Golang. Questo particolare esempio segue i server Web e tenta di utilizzare diverse vulnerabilità note per ottenere credenziali e autorizzazioni.
L'ultima campagna del malware Capoae prende di mira due vulnerabilità principali:
- CVE-2020-14882 – che interessa le versioni obsolete di Oracle WebLogic Server e porta a Remote Code Execution (RCE.)
- CVE-2018-20062 – colpisce ThinkPHP e consente anche agli aggressori di eseguire codice remoto.
Oltre a questi exploit noti, i criminali dietro il Capoae Malware stanno anche usando la forza bruta per colpire i server con credenziali di accesso lassiste. Uno dei sistemi interessati ha ricevuto il carico utile tramite l'uso di un plug-in dannoso che gli aggressori hanno installato grazie alle credenziali rubate. Il componente aggiuntivo difettoso, soprannominato Download-monitor, influisce sulle installazioni di WordPress.
Funzionalità del malware Capoae
Lo scopo di questa minaccia è distribuire un payload, che porta una copia modificata del miner di criptovaluta XMRig. Questo particolare software è il numero 1 preferito dai criminali informatici che cercano di eseguire operazioni di cryptojacking. Utilizza le risorse del server infetto per estrarre la criptovaluta Monero.
Tuttavia, far cadere il minatore non è la fine dell'attacco. Il malware Capoae distribuisce anche web shell, che garantiscono all'attaccante un maggiore controllo sul server. I criminali possono utilizzare i server Web infetti e le installazioni di WordPress per scansionare Internet alla ricerca di altre potenziali vittime.
Proteggersi dal malware Capoae richiede l'uso di solide funzionalità di sicurezza, nonché credenziali di accesso sicure. Naturalmente, anche l'applicazione degli ultimi aggiornamenti a tutto il software connesso a Internet è obbligatorio per ridurre il rischio di attacchi.