Capoae-Malware

Von Mezo in Malware

Übersetzen Sie in:

Ein neuer Malware-Stamm wird in aktiven Angriffskampagnen verwendet, um Krypto-Mining-Nutzlasten auf kompromittierte Systeme zu übertragen. Die Bedrohung wurde Capoae genannt, und den Ergebnissen zufolge wird Capoae in der Sprache Go geschrieben, die aufgrund ihrer plattformübergreifenden Fähigkeiten in Kreisen von Cyberkriminellen immer beliebter wird.

Als erste Angriffsvektoren setzen die Bedrohungsakteure Brute-Force-Angriffe gegen Systeme mit schwachen Anmeldeinformationen ein, während sie gleichzeitig mehrere bekannte Schwachstellen ausnutzen. Genauer gesagt verlässt sich Capoae auf CVE-2020-14882, einen Remote Code Execution (RCE)-Fehler in Oracle WebLogic Server, CVE-2018-20062, einem weiteren RCE, aber diesmal in ThinkPHP. Die Bedrohung nutzt möglicherweise auch zwei RCE-Schwachstellen in Jenkins, die als CVE-2019-1003029 und CVE-2019-1003030 verfolgt werden.

Bedrohungspotenziale

Als solches ist Capoae in der Lage, WordPress-Installationen und Linux-Systeme zu infizieren. Die letzte Nutzlast, die an die angegriffenen Systeme geliefert wird, ist eine XMRig- Variante, die die Ressourcen des Opfers entführt, um nach Monero-Münzen, einer der beliebtesten Kryptowährungen, zu schürfen.Neben dem Miner werden jedoch auch verschiedene andere Web-Shells eingesetzt. Sie erweitern die schändlichen Handlungen, die den Bedrohungsakteuren zur Verfügung stehen. Einer hat zum Beispiel die Aufgabe, Dateien von infizierten Systemen zu sammeln. Anschließend wird ein Port-Scanner initiiert, der nach offenen Ports sucht, um die weitere Verbreitung der Capoae-Malware zu erleichtern.

Um ihre anhaltende Präsenz zu gewährleisten, ist die Bedrohung mit einem neuartigen Persistenzmechanismus ausgestattet. Zunächst wählt Capoae einen scheinbar legitimen Systempfad aus einer Liste potenzieller Standorte aus. Dann generiert es einen neuen Dateinamen, der aus sechs zufälligen Zeichen besteht und kopiert sich selbst an den ausgewählten Ort. Die alten Binärdateien der Malware werden dann gelöscht. Der letzte Schritt besteht darin, entweder einen neuen Crontab-Eintrag einzufügen oder einen vorhandenen Crontab-Eintrag zu aktualisieren, der die neu generierte Datei ausführt.

Typische Symptome einer Capoae-Infektion sind eine abnormale Nutzung von Systemressourcen, seltsame oder unerwartete Systemprozesse, die im Hintergrund ausgeführt werden, oder unbekannte Artefakte, die auf dem System verbleiben, wie SSH-Schlüssel oder kleine Dateien.

Suche

Region ändern

Capoae-Malware

Bedrohungspotenziale

Kommentar abgeben

Im Trend

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Am häufigsten gesehen

Ist Lookmovie.io sicher?

So beheben Sie den Fehler 'Druckertreiber ist nicht...

Discord zeigt beim Teilen des Bildschirms schwarzen...