Malware Capoae atakuje serwery internetowe i WordPress
Cyberprzestępcy nadal aktywnie eksperymentują ze złośliwym oprogramowaniem wykorzystującym język programowania Golang. Takie podejście ma wiele zalet, ale są dwie główne, które sprawiają, że jest tak atrakcyjne dla cyberprzestępców. Ponieważ Golang jest dość nowatorskim językiem, niektóre narzędzia bezpieczeństwa nie są jeszcze wystarczająco dobre, aby wykrywać i usuwać złośliwy kod. Oprócz tego Golang oferuje świetną kompatybilność między platformami bez pytania o wymagania wstępne, których wymaga na przykład JAVA. Inne rodziny złośliwego oprogramowania Golang to RustyBuer i Klingon RAT . The Capoae Malware to jeden z najnowszych projektów Golang. Ta konkretna próbka dotyczy serwerów sieci Web i próbuje wykorzystać kilka znanych luk w zabezpieczeniach w celu uzyskania poświadczeń i uprawnień.
Najnowsza kampania Capoae Malware ma na celu dwie główne luki w zabezpieczeniach:
- CVE-2020-14882 — wpływ na przestarzałe wersje serwera Oracle WebLogic Server i prowadzi do zdalnego wykonywania kodu (RCE).
- CVE-2018-20062 – wpływa na ThinkPHP, a także umożliwia atakującym zdalne wykonanie kodu.
Oprócz tych znanych exploitów przestępcy stojący za Capoae Malware używają również brutalnej siły, aby atakować serwery z luźnymi danymi logowania. Jeden z zaatakowanych systemów miał ładunek dostarczony za pomocą złośliwej wtyczki, którą atakujący zainstalowali dzięki skradzionym poświadczeniom. Wadliwy dodatek, nazwany monitorem pobierania, wpływa na instalację WordPressa.
Funkcje złośliwego oprogramowania Capoae
Celem tego zagrożenia jest wdrożenie ładunku, który przynosi zmodyfikowaną kopię koparki kryptowalut XMRig. To konkretne oprogramowanie jest ulubionym oprogramowaniem cyberprzestępców, którzy chcą wykonywać operacje cryptojackingu. Wykorzystuje zasoby zainfekowanego serwera do wydobywania kryptowaluty Monero.
Jednak zrzucenie górnika to nie koniec ataku. Capoae Malware wdraża również powłoki sieciowe, które zapewniają atakującemu większą kontrolę nad serwerem. Przestępcy mogą wykorzystywać zainfekowane serwery WWW i instalacje WordPressa do skanowania Internetu w poszukiwaniu większej liczby potencjalnych ofiar.
Ochrona przed złośliwym oprogramowaniem Capoae wymaga użycia solidnych funkcji bezpieczeństwa, a także silnych danych logowania. Oczywiście stosowanie najnowszych aktualizacji do całego oprogramowania połączonego z Internetem jest również obowiązkowe, aby zmniejszyć ryzyko ataków.