Capoae Malware richt zich op webservers en WordPress
Cybercriminelen blijven actief experimenteren met malware die de programmeertaal Golang gebruikt. Deze aanpak heeft meerdere voordelen, maar er zijn twee belangrijke die het zo aantrekkelijk maken voor cybercriminelen. Omdat Golang een vrij nieuwe taal is, zijn sommige beveiligingstools nog niet goed genoeg om kwaadaardige code te herkennen en te beëindigen. Daarnaast biedt Golang geweldige platformonafhankelijke compatibiliteit zonder te vragen naar de vereisten die bijvoorbeeld JAVA vereist. Andere Golang-malwarefamilies zijn de RustyBuer en Klingon RAT . De Capoae Malware is een van de nieuwste Golang-projecten. Dit specifieke voorbeeld gaat achter webservers aan en probeert verschillende bekende kwetsbaarheden te gebruiken om referenties en machtigingen te verkrijgen.
De nieuwste campagne van de Capoae Malware richt zich op twee primaire kwetsbaarheden:
- CVE-2020-14882 – beïnvloedt verouderde versies van Oracle WebLogic Server en leidt tot Remote Code Execution (RCE.)
- CVE-2018-20062 – beïnvloedt ThinkPHP en stelt aanvallers ook in staat om externe code uit te voeren.
Naast deze bekende exploits, gebruiken de criminelen achter de Capoae Malware ook brute kracht om servers te targeten met lakse inloggegevens. Op een van de getroffen systemen werd de payload afgeleverd via een kwaadaardige plug-in die de aanvallers hadden geïnstalleerd dankzij de gestolen inloggegevens. De defecte add-on, genaamd Download-monitor, heeft invloed op WordPress-installaties.
Capoae Malware-functies
Het doel van deze dreiging is om een payload in te zetten, die een aangepaste kopie van de XMRig-cryptocurrency-mijnwerker oplevert. Deze specifieke software is de nummer 1 favoriet van cybercriminelen die cryptojacking-operaties willen uitvoeren. Het gebruikt de bronnen van de geïnfecteerde server om de Monero-cryptocurrency te delven.
Het laten vallen van de mijnwerker is echter niet het einde van de aanval. De Capoae Malware zet ook webshells in, die de aanvaller meer controle over de server geven. De criminelen kunnen de geïnfecteerde webservers en WordPress-installaties gebruiken om het internet te scannen op meer potentiële slachtoffers.
Om uzelf tegen de Capoae-malware te beschermen, zijn robuuste beveiligingsfuncties en sterke inloggegevens vereist. Natuurlijk is het ook verplicht om de laatste updates toe te passen op alle op internet aangesloten software om het risico op aanvallen te verminderen.