Licencias para múltiples dispositivos (descuentos por volumen)

Cambia región

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe български език Русский हिन्दी 日本語 汉语 漢語 한국어
Threat Database Malware Capoae Malware

Capoae Malware

Por Mezo en Malware
Traducir a:
Español

Se está utilizando una nueva cepa de malware en campañas de ataque activo para entregar cargas útiles de minería criptográfica en sistemas comprometidos. La amenaza se llamó Capoae y, según los hallazgos, Capoae está escrito en el lenguaje Go, que se está convirtiendo en una opción popular en los círculos de ciberdelincuentes debido a sus capacidades multiplataforma.

Como vectores iniciales de compromiso, los actores de amenazas emplean ataques de fuerza bruta contra sistemas con credenciales débiles, mientras que también explotan varias vulnerabilidades conocidas. Más específicamente, Capoae se basa en CVE-2020-14882, una falla de ejecución remota de código (RCE) en Oracle WebLogic Server, CVE-2018-20062, otro RCE pero esta vez en ThinkPHP. La amenaza también puede estar utilizando dos vulnerabilidades RCE en Jenkins que se rastrean como CVE-2019-1003029 y CVE-2019-1003030.

Capacidades amenazantes

Como tal, Capoae es capaz de infectar instalaciones de WordPress y sistemas Linux. La carga útil final entregada a los sistemas violados es una variante de XMRig que secuestrará los recursos de la víctima para extraer monedas de Monero, una de las criptomonedas más populares.Sin embargo, junto con el minero, también se implementan varios otros shells web. Amplían las acciones nefastas disponibles para los actores de la amenaza. Uno, por ejemplo, tiene la tarea de recopilar archivos de sistemas infectados. Luego, se inicia un escáner de puertos y busca puertos abiertos para facilitar la proliferación adicional del malware Capoae.

Para asegurar su presencia continua, la amenaza está equipada con un novedoso mecanismo de persistencia. Primero, Capoae elegirá una ruta de sistema aparentemente legítima de una lista de ubicaciones potenciales. Luego, generará un nuevo nombre de archivo que consta de seis caracteres aleatorios y se copiará a sí mismo en la ubicación seleccionada. A continuación, se eliminan los antiguos archivos binarios del malware. El paso final es inyectar una entrada nueva o actualizar una entrada Crontab existente que ejecutará el archivo recién generado.

Los síntomas típicos de una infección por Capoae incluyen el uso anormal de los recursos del sistema, procesos del sistema extraños o inesperados que se ejecutan en segundo plano o artefactos desconocidos que quedan en el sistema, como claves SSH o archivos pequeños.

Tendencias

Mas Visto

Cargando...