Ten malware zamienia platformę WordPress w narzędzie do kopania kryptowalut

W internecie pojawiło się nowe zagrożenie noszące nazwę Capoe, które atakuje znaną platformę open-source WordPress, zagnieżdżając na niej złośliwe oprogramowanie realizujące zadanie kopania jednej ze znanych kryptowalut.

Ten malware zamienia platformę WordPress w narzędzie do kopania kryptowalut

Fot. RODNAE Productions, Pexels

Malware został napisany w języku programowania Go i wykorzystuje znane już i opisane podatności znajdujące się w oprogramowaniu RCE (Remote Code Execution), które obsługuje operacje zdalnego wykonywania kodu. Są to podatności CVE-2020-14882 i CVE-2018-20062. Pierwsza znajduje się w Oracle WebLogic Server, a druga w ThinkPHP.

Malware Capoe został namierzony pierwszy raz przez firmę Akamai, co stało się za prawą pułapki „honeypot”, której udało się przechwycić złośliwy kod. Okazało się, że odpowiada on za ataki „brute-force” modyfikujące wtyczkę WordPress noszącą nazwę Download-monitor.

Zobacz również:

  • IDC CIO Summit – potencjał drzemiący w algorytmach
  • Co trzecia firma w Polsce z cyberincydentem
  • Prevalent wprowadza Alfreda, generatywnego kamerdynera AI do zarządzania ryzykiem

Jest to tylko pierwszy etap ataku, gdyż w kolejnym kroku wtyczka instaluje podstawowy złośliwy kod Capoae. Ma on postać spakowanego pliku XMRig o wielkości 3 MB, który jest zapisywany w katalogu /temp. Po rozpakowaniu okazuje się, że jest to klasyczny program używany do kopania kryptowaluty Monero.

Ale to nie wszystko. Oprócz koparki kryptowalut, malware instaluje również na zaatakowanym systemie kilka powłok internetowych, z których jedna jest w stanie przesyłać pliki skradzione z zaatakowanego systemu do skonfigurowanego przez hakera serwera. Koparce towarzyszy też skaner portów, który wyszukuje kolejne ścieżki, przez które malware może atakować następne ofiary.

Zagrożenie jest trudne do wykrycia, a głównymi oznakami mogący świadczyć o tym, że nasz system WordPress został zainfekowany, mogą być takie objawy jak zbyt duże zużycie zasobów systemowych (co przekłada się na wolniejszą pracę systemu) czy też niespotykane wcześniej i dziwnie wyglądające wpisy, jakie mogą pojawiać się w dzienniku zdarzeń platformy.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200