Programari maliciós HeadCrab
Un nou programari maliciós altament sigil anomenat HeadCrab ha estat infectant els servidors de Redis en línia i ha creat una botnet per explotar la criptomoneda Monero. El programari maliciós HeadCrabe ha tingut èxit en comprometre més de 1.200 servidors Redis, que utilitza per cercar més objectius. Els sofisticats actors d'amenaces darrere de HeadCrab han desenvolupat programari maliciós personalitzat que és molt avançat i que no es detecta fàcilment per les solucions anti-malware tradicionals o els sistemes sense agent. Els detalls sobre el programari maliciós HeadCrab i les operacions amenaçadores es van publicar en un informe dels investigadors d'infosec.
Vector d'infecció explotat pel programari maliciós HeadCrab
Els atacants darrere d'aquesta botnet exploten una vulnerabilitat als servidors Redis, que està dissenyat per a ús intern dins de la xarxa d'una organització i no tenen autenticació per defecte. Si els administradors no protegeixen correctament els seus servidors i els fan accessibles des d'Internet, ja sigui accidentalment o intencionadament, els atacants poden obtenir el control fàcilment mitjançant eines amenaçadores o programari maliciós. Un cop tenen accés a aquests servidors no autenticats, els atacants emeten una ordre "SLAVEOF" per sincronitzar el servidor amb un servidor mestre sota el seu control, cosa que els permet desplegar el programari maliciós HeadCrab al sistema recent segrestat.
Capacitats perjudicials del programari maliciós HeadCrab
Un cop instal·lat i activat, HeadCrab ofereix als atacants una gamma completa d'habilitats necessàries per fer-se càrrec del servidor objectiu i incorporar-lo a la seva botnet de criptomineria. Funciona a la memòria dels dispositius compromesos per esquivar les exploracions anti-malware. El programari maliciós HeadCrab elimina tots els registres i només es comunica amb altres servidors controlats pels seus operadors per escapar de la detecció.
Els atacants es comuniquen amb adreces IP autèntiques, principalment amb els seus altres servidors contaminats, per evitar la detecció i minimitzar el risc de ser bloquejats per solucions de seguretat. A més, el programari maliciós HeadCrab es basa principalment en processos Redis. No és probable que aquests processos es considerin amenaçadors o sospitosos. Les càrregues útils es carreguen mitjançant 'memfd', fitxers només de memòria, mentre que els mòduls del nucli es carreguen directament des de la memòria com una manera d'evitar les escriptures de disc.
L'anàlisi de l'adreça de criptomoneda de Monero associada a la campanya HeadCrab Malware ha revelat que els atacants obtenen un benefici anual aproximat de 4.500 dòlars per treballador. Si les estimacions són correctes, mostra un augment dràstic per sobre dels 200 dòlars típics per treballador observat en altres tipus d'operacions.
