Licenças para vários dispositivos (descontos por volume)

Mudar de região

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe български език Русский हिन्दी 日本語 汉语 漢語 한국어
Threat Database Malware Capoae Malware

Capoae Malware

Por Mezo em Malware
Traduzir Para:
Português

Um novo tipo de malware está sendo usado em ativas campanhas de ataque para entregar cargas úteis de mineração de criptografia nos sistemas comprometidos. A ameaça foi chamada de Capoae e, de acordo com as descobertas, o Capoae foi escrito usando a linguagem Go, que está se tornando uma escolha popular nos círculos cibercriminosos, devido aos seus recursos de plataforma cruzada.

Como vetores iniciais de comprometimento, os autores da ameaça empregam ataques de força bruta contra sistemas com credenciais fracas, ao mesmo tempo que exploram várias vulnerabilidades conhecidas. Mais especificamente, o Capoae depende da CVE-2020-14882, uma falha de execução remota de código (RCE) no Oracle WebLogic Server, CVE-2018-20062, outro RCE, mas desta vez no ThinkPHP. A ameaça pode estar utilizando duas vulnerabilidades RCE no Jenkins, também rastreadas como CVE-2019-1003029 e CVE-2019-1003030.

Capacidades Ameaçadoras

Como tal, o Capoae é capaz de infectar instalações do WordPress e sistemas Linux. A carga útil final entregue nos sistemas violados é uma variante do XMRig que sequestra os recursos da vítima para extrair moedas Monero, uma das criptomoedas mais populares.No entanto, ao lado do minerador, vários outros invólucros da Web também são implantados. Eles expandem as ações nefastas disponíveis para os autores da ameaça. Um, por exemplo, tem a tarefa de coletar arquivos de sistemas infectados. Um scanner de porta é então iniciado e procura portas abertas para facilitar a proliferação do malware Capoae.

Para garantir sua presença contínua, a ameaça está equipada com um novo mecanismo de persistência. Primeiro, o Capoae escolherá um caminho do sistema aparentemente legítimo em uma lista de locais potenciais. Em seguida, ele irá gerar um novo nome de arquivo consistindo de seis caracteres aleatórios e se copiar para o local selecionado. Os binários antigos do malware são então excluídos. A etapa final é injetar uma nova entrada do Crontab ou atualizar uma existente que executará o arquivo recém-gerado.

Os sintomas típicos de uma infecção pelo Capoae incluem o uso anormal de recursos do sistema, processos de sistema estranhos ou inesperados em execução em segundo plano ou artefatos desconhecidos deixados no sistema, como chaves SSH ou pequenos arquivos.

Tendendo

Mais visto

Carregando...