Une nouvelle souche de cryptominage des logiciels malveillants ont été repérés dans des cyberattaques contre WordPress installations.
La cyber-sécurité chercheurs à Akamai dit le malware, surnommé Capoae, est écrit dans le langage de programmation Go, qui est devenu populaire auprès des acteurs de la menace en raison de sa capacité à écrire du code multiplateforme facilement réutilisable qui traverse Windows 10, Linux, macOS et Android.
Le chercheur vétéran de la vulnérabilité Larry Cashdollar a détails partagés à propos de Capoae, qui est particulièrement intéressant car il utilise de multiples vulnérabilités pour prendre pied dans Installations WordPress, et réutilisez-les discrètement pour extraire des crypto-monnaies à l’aide du célèbre logiciel d’extraction XMRig.
« Les campagnes de Crypto Mining continuent d’évoluer. L’utilisation par la campagne Capoae de multiples vulnérabilités et tactiques montre à quel point ces opérateurs sont déterminés à prendre pied sur autant de machines que possible », note Cashdollar.
Nouvelles tactiques
Cashdollar a attrapé Capoae en utilisant un pot de miel pour attirer le malware PHP. Le malware a fait son chemin dans le serveur en forçant brutalement les faibles informations d’identification d’administrateur WordPress pour installer un plugin WordPress corrompu nommé download-monitor, qui avait une porte dérobée.
Après avoir examiné les journaux d’accès au pot de miel et le malware lui-même, le chercheur a pu démêler son mode d’attaque.
Son analyse a révélé que Capoae exploitait au moins quatre vulnérabilités différentes d’exécution de code à distance (RCE), une sur Oracle WebLogic Server, une autre dans ThinkPHP et quelques-unes dans Jenkins.
Suite à la découverte du nouveau malware, Cashdollar demande à tous les administrateurs WordPress de rechercher une utilisation élevée des ressources système dans leurs serveurs, des processus système méconnaissables et des entrées de journal ou des artefacts douteux, tels que des fichiers suspects et des clés SSH, qui sont quelques-uns des signes courants. d’intrusions.
« La bonne nouvelle est que les mêmes techniques que nous recommandons à la plupart des organisations pour assurer la sécurité des systèmes et des réseaux s’appliquent toujours ici. N’utilisez pas d’informations d’identification faibles ou par défaut pour les serveurs ou les applications déployées. Assurez-vous de maintenir ces applications déployées à jour avec les derniers correctifs de sécurité et vérifiez-les de temps en temps », conclut Cashdollar.
— to www.techradar.com