Une nouvelle souche de cryptominage des logiciels malveillants ont été repérés dans des cyberattaques contre WordPress installations.
La cyber-sécurité les chercheurs d’Akamai disent que le malware, surnommé Capoae, est écrit dans le langage de programmation Go, qui est devenu populaire auprès des acteurs de la menace en raison de sa capacité à écrire du code multiplateforme facilement réutilisable qui traverse Windows 10, Linux, macOS et Android.
Le chercheur vétéran de la vulnérabilité Larry Cashdollar a détails partagés sur Capoae, qui est particulièrement intéressant car il utilise de multiples vulnérabilités pour prendre pied dans Installations WordPress, et réutilisez-les discrètement pour extraire des crypto-monnaies à l’aide du célèbre logiciel d’extraction XMRig.
Nous examinons comment nos lecteurs utilisent les VPN avec des sites de streaming comme Netflix afin que nous puissions améliorer notre contenu et offrir de meilleurs conseils. Cette enquête ne prendra pas plus de 60 secondes de votre temps, et nous apprécierions énormément que vous partagiez vos expériences avec nous.
>> Cliquez ici pour lancer le sondage dans une nouvelle fenêtre <
« Les campagnes de Crypto Mining continuent d’évoluer. L’utilisation par la campagne Capoae de multiples vulnérabilités et tactiques montre à quel point ces opérateurs sont déterminés à prendre pied sur autant de machines que possible », note Cashdollar.
Sommaire
Nouvelles tactiques
Cashdollar a attrapé Capoae en utilisant un pot de miel pour attirer le malware PHP. Le malware a fait son chemin dans le serveur en forçant brutalement les faibles informations d’identification d’administrateur WordPress pour installer un plugin WordPress corrompu nommé download-monitor, qui avait une porte dérobée.
Après avoir examiné les journaux d’accès au pot de miel et le malware lui-même, le chercheur a pu démêler son mode d’attaque.
Son analyse a révélé que Capoae exploitait au moins quatre vulnérabilités différentes d’exécution de code à distance (RCE), une sur Oracle WebLogic Server, une autre dans ThinkPHP et quelques-unes dans Jenkins.
Suite à la découverte du nouveau malware, Cashdollar demande à tous les administrateurs WordPress de rechercher une utilisation élevée des ressources système dans leurs serveurs, des processus système méconnaissables et des entrées de journal ou des artefacts douteux, tels que des fichiers suspects et des clés SSH, qui sont quelques-uns des signes courants. d’intrusions.
« La bonne nouvelle est que les mêmes techniques que nous recommandons à la plupart des organisations pour assurer la sécurité des systèmes et des réseaux s’appliquent toujours ici. N’utilisez pas d’informations d’identification faibles ou par défaut pour les serveurs ou les applications déployées. Assurez-vous de maintenir ces applications déployées à jour avec les derniers correctifs de sécurité et vérifiez-les de temps en temps », conclut Cashdollar.
