El malware llamado Capoae está creciendo rápidamente como herramienta favorita entre los piratas informáticos y los actores de amenazas debido a sus capacidades multiplataforma, fácil instalación y rápida tasa de infección.
Los usuarios de Linux y WordPress deben estar al tanto de los indicadores que podrían indicar un ataque de malware Capoae.
Larry Cashdollar, investigador de seguridad senior de Akamai , descubrió esta nueva cepa de malware el mes pasado. Explicó cómo Capoae explota errores y credenciales administrativas débiles en la cuenta para iniciar la infección del sistema.
¿Qué es el malware Capoae? ¿Qué tan peligroso es?
Generalmente, Capoae utiliza CVE-2020-14882, un error de ejecución remota en Oracle WebLogic Server, y CVE-2018-20062, otro RCE para ThinkPHP. Usando esto como puntos de entrada, Capoae instalaría software de minería de criptomonedas en el dispositivo infectado. Esto crea una tensión en la carga de recursos del sistema.
Según Advancetec Solutions , Capoae no es una cepa de malware peligrosa. Es mucho más inofensivo en comparación con cargas útiles como el ransomware. Sin embargo, se enfatiza que Capoae se explota con fines de criptomonedas. Técnicamente, nada impide que los piratas informáticos utilicen Capoae para cargas útiles, códigos de ejecución o virus más devastadores.
Aunque no se hicieron informes de infecciones peligrosas por Capoae, la amenaza evidentemente está ahí, por lo que los usuarios deben permanecer atentos a los indicadores de Capoae
¿Cómo ataca Capoae Malware a Linux y WordPress?
ZDNet explicó en detalle cómo Capoae lanza su ataque contra Linux y WordPress. En su experimento, se observó una muestra de Capoae apuntando a un honeypot de Akamai.
Como se mencionó anteriormente, Capoae explotó por primera vez CVE-2020-14882 y CVE-2018-20062. Posteriormente, se entregó un malware PHP a través de un complemento de WordPress llamado Monitor de descargas. Los datos del usuario y las credenciales laxas de honeypot se obtuvieron de inmediato a través de un ataque de fuerza bruta.
El complemento de WordPress se utilizó luego como un conducto para la carga útil principal de Capoae a / tmp, un binario empaquetado UPX de 3 MB. Después de ser decodificado, el XMRig recién adquirido se instala y se ordena de forma remota para extraer la criptomoneda Monero (XMR).
Aparte del minero de criptomonedas, Capoae también instalaría varios shells web, robaría datos de usuario y cargaría archivos robados al sistema del atacante. Por último, Capoae es capaz de detectar puertos abiertos que podría explotar en su minería.
Según ZDNet, Cashdollar dijo: "Después de que se ejecuta el malware Capoae, tiene un medio de persistencia bastante inteligente. El malware primero elige una ruta de sistema de aspecto legítimo de una pequeña lista de ubicaciones en un disco donde probablemente encontrará binarios del sistema. "
Cashdollar también explicó que Capoae generaría un nombre de archivo de seis caracteres aleatorios y los usa para copiarse a sí mismo en una nueva ubicación en el disco y se borra a sí mismo. Una vez hecho esto, Capoae inyecta / actualiza una entrada de Crontab que activará la ejecución de este binario recién creado
El indicador más notable de infección por Capoae es un proceso de sistema irreconocible en funcionamiento o un pico inusual en la carga de recursos del sistema. Además, esté atento a entradas de registro extrañas o artefactos como claves y archivos SSH.
Fecha actualización el 2021-10-07. Fecha publicación el 2021-10-07. Categoria: wordpress Autor: Oscar olg Mapa del sitio Fuente: itechpost