Malware HeadCrab

Un nuovo malware altamente furtivo chiamato HeadCrab ha infettato i server Redis online e costruito una botnet per estrarre la criptovaluta Monero. Il malware HeadCrabe è riuscito a compromettere oltre 1.200 server Redis, che utilizza per cercare più obiettivi. I sofisticati attori delle minacce dietro HeadCrab hanno sviluppato malware su misura altamente avanzati e non facilmente rilevabili dalle tradizionali soluzioni anti-malware o dai sistemi agentless. I dettagli sul malware HeadCrab e sulle operazioni minacciose sono stati rilasciati in un rapporto dai ricercatori di infosec.

Vettore di infezione sfruttato dal malware HeadCrab

Gli aggressori dietro questa botnet sfruttano una vulnerabilità nei server Redis, progettati per uso interno all'interno della rete di un'organizzazione e privi di autenticazione per impostazione predefinita. Se gli amministratori non riescono a proteggere adeguatamente i propri server e a renderli accessibili da Internet, accidentalmente o intenzionalmente, gli aggressori possono facilmente ottenere il controllo utilizzando strumenti minacciosi o malware. Una volta che hanno accesso a questi server non autenticati, gli aggressori emettono un comando "SLAVEOF" per sincronizzare il server con un server master sotto il loro controllo, consentendo loro di distribuire il malware HeadCrab sul sistema appena dirottato.

Le capacità dannose di HeadCrab Malware

Una volta installato e attivato, HeadCrab offre agli aggressori una gamma completa di abilità necessarie per impossessarsi del server preso di mira e incorporarlo nella loro botnet di cripto-mining. Funziona nella memoria dei dispositivi compromessi per schivare le scansioni anti-malware. Il malware HeadCrab elimina tutti i log e comunica solo con altri server controllati dai suoi operatori per sfuggire al rilevamento.

Gli aggressori comunicano con indirizzi IP autentici, principalmente i loro altri server contaminati, per eludere il rilevamento e ridurre al minimo il rischio di essere bloccati dalle soluzioni di sicurezza. Inoltre, il malware HeadCrab si basa principalmente sui processi Redis. È improbabile che questi processi vengano considerati minacciosi o sospetti. I payload vengono caricati tramite "memfd", file di sola memoria, mentre i moduli del kernel vengono caricati direttamente dalla memoria per evitare le scritture su disco.

L'analisi dell'indirizzo del cripto-wallet Monero associato alla campagna HeadCrab Malware ha rivelato che gli aggressori stanno guadagnando un profitto annuo di circa $ 4.500 per lavoratore. Se le stime sono corrette, mostra un drastico aumento rispetto ai tipici $ 200 per lavoratore osservati in altri di questi tipi di operazioni.