Il nuovo malware Capoae prende di mira WordPress e Linux

Capoae evidenzia l’aumento degli attacchi informatici progettati per distribuire payload di mining di criptovaluta.

Un nuovo ceppo di malware, scritto in Go, è stato individuato negli attacchi informatici lanciati contro i sistemi WordPress e Linux.

Giovedì, Larry Cashdollar, ricercatore senior per la sicurezza presso Akamai, ha affermato che il malware, soprannominato Capoae, è scritto nel linguaggio di programmazione Golang – diventando rapidamente uno dei preferiti dagli attori delle minacce grazie alle sue capacità multipiattaforma – e si diffonde attraverso bug noti e credenziali amministrative deboli.

Le vulnerabilità sfruttate da Capoae includono CVE-2020-14882, un difetto di esecuzione del codice remoto (RCE) in Oracle WebLogic Server e CVE-2018-20062, un altro RCE in ThinkPHP.

Il malware è stato individuato dopo che un campione ha preso di mira un honeypot di Akamai. Un campione di malware PHP è arrivato tramite una backdoor collegata a un plug-in di WordPress chiamato Download-monitor, installato dopo che le credenziali lassiste dell’honeypot erano state ottenute tramite un attacco di forza bruta.

Questo plugin è stato quindi utilizzato come condotto per distribuire il payload Capoae principale su /tmp, un binario compresso UPX da 3 MB, che è stato quindi decodificato. XMRig viene quindi installato per estrarre la criptovaluta Monero (XMR).

Leggi anche:

• Gli hacker prendono di mira i pirati dei videogiochi, infettando i loro PC con Cryptojacks

Accanto al miner di criptovalute, sono installate anche diverse web shell, una delle quali è in grado di caricare file rubati dal sistema compromesso. Inoltre, un port scanner è stato fornito in bundle con il minatore per trovare porte aperte per un ulteriore sfruttamento.

“Una volta eseguito, il malware Capoae dispone di un mezzo di persistenza piuttosto intelligente”, afferma Cashdollar. “Il malware sceglie prima un percorso di sistema dall’aspetto legittimo da un piccolo elenco di posizioni su un disco in cui è probabile che si trovino i file binari di sistema. Quindi genera un nome file di sei caratteri casuale e utilizza questi due pezzi per copiarsi nel nuovo posizione sul disco e si cancella. Una volta fatto, inietta/aggiorna una voce Crontab che attiverà l’esecuzione di questo binario appena creato.”

Capoae tenterà di attaccare con la forza bruta le installazioni di WordPress per diffondersi e potrebbe anche utilizzare CVE-2019-1003029 e CVE-2019-1003030, entrambi difetti RCE che hanno un impatto su Jenkins e le infezioni sono state rintracciate nei server Linux.

Cashdollar ha affermato che la campagna Capoae evidenzia “quanto siano intenti questi operatori a ottenere un punto d’appoggio sul maggior numero possibile di macchine”.

Leggi anche:

• Il malware che abusa del CAPTCHA per aggirare le protezioni del browser

I principali segni di infezione includono un elevato utilizzo delle risorse di sistema, processi di sistema imprevisti o irriconoscibili in funzione e strane voci di registro o artefatti, come file e chiavi SSH.

“La buona notizia è che le stesse tecniche che raccomandiamo alla maggior parte delle organizzazioni per proteggere i sistemi e le reti sono ancora valide qui”, ha commentato Cashdollar. “Non utilizzare credenziali deboli o predefinite per i server o le applicazioni distribuite. Assicurati di mantenere aggiornate le applicazioni distribuite con le ultime patch di sicurezza e controllale di tanto in tanto.”

In un secondo post sul blog, Akamai ha anche esaminato l’evoluzione di Kinsing, malware che utilizza vulnerabilità note in sistemi privi di patch per gestire e diffondere una botnet di mining di criptovaluta.

Secondo il ricercatore Evyatar Saias, Kinsing è stato individuato per la prima volta a febbraio da Akamai e, all’inizio, aveva preso di mira solo Linux. Tuttavia, un recente aggiornamento ha consentito alla botnet di colpire anche i sistemi Windows nelle Americhe, in Asia e in Europa.

Fonte

Ti potrebbe interessare:

• SOVA, il nuovo malware Android che ruba i dati bancari

Segui guruhitech su:

• Google News: bit.ly/gurugooglenews
• Instagram: instagram.com/guruhitech_official
• Telegram: t.me/guruhitech
• Facebook: facebook.com/guruhitechweb
• Twitter: twitter.com/guruhitech1
• Threads: threads.net/@guruhitech_official
• Bluesky: bsky.app/profile/guruhitech.bsky.social
• GETTR: gettr.com/user/guruhitech
• Rumble: rumble.com/user/guruhitech
• VKontakte: vk.com/guruhitech
• MeWe: mewe.com/i/guruhitech
• Skype: live:.cid.d4cf3836b772da8a
• WhatsApp: bit.ly/whatsappguruhitech

Esprimi il tuo parere!

Avevi mai sentito parlare del malware Capoae? Lascia un commento nell’apposita sezione che trovi più in basso e se ti va, iscriviti alla newsletter.

Per qualsiasi domanda, informazione o assistenza nel mondo della tecnologia, puoi inviare una email all’indirizzo [email protected].