HeadCrab Malware

Um novo malware altamente furtivo chamado HeadCrab está infectando servidores Redis online e construindo uma botnet para minerar a criptomoeda Monero. O malware HeadCrabe conseguiu comprometer mais de 1.200 servidores Redis, que usa para procurar mais alvos. Os sofisticados agentes de ameaças por trás do HeadCrab desenvolveram malware personalizado que é altamente avançado e não é facilmente detectado por soluções antimalware tradicionais ou sistemas sem agente. Detalhes sobre o malware HeadCrab e as operações ameaçadoras foram divulgados em um relatório de pesquisadores da infosec.

Vetor de Infecção Explorado pelo Malware HeadCrab

Os invasores por trás dessa botnet exploram uma vulnerabilidade nos servidores Redis, que são projetados para uso interno na rede de uma organização e carecem de autenticação por padrão. Se os administradores falharem em proteger adequadamente seus servidores e torná-los acessíveis pela Internet, acidental ou intencionalmente, os invasores podem facilmente obter o controle usando ferramentas ameaçadoras ou malware. Depois de terem acesso a esses servidores não autenticados, os invasores emitem um comando "SLAVEOF" para sincronizar o servidor com um servidor mestre sob seu controle, permitindo que eles implantem o malware HeadCrab no sistema recém-seqüestrado.

Capacidades Prejudiciais do Malware HeadCrab

Uma vez instalado e ativado, o HeadCrab oferece aos invasores uma gama completa de habilidades necessárias para assumir o controle do servidor de destino e incorporá-lo em seu botnet de mineração de criptografia. Ele opera na memória dos dispositivos comprometidos para evitar varreduras anti-malware. O malware HeadCrab elimina todos os logs e só se comunica com outros servidores controlados por seus operadores para escapar da detecção.

Os invasores se comunicam com endereços IP autênticos, principalmente seus outros servidores contaminados, para evitar a detecção e minimizar o risco de serem bloqueados por soluções de segurança. Além disso, o HeadCrab Malware é baseado principalmente em processos Redis. Esses processos provavelmente não serão considerados ameaçadores ou suspeitos. As cargas úteis são carregadas por meio de 'memfd', arquivos somente de memória, enquanto os módulos do kernel são carregados diretamente da memória como uma forma de evitar gravações em disco.

A análise do endereço da carteira da cript-moeda Monero associada à campanha do HeadCrab Malware revelou que os invasores estão obtendo um lucro anual aproximado de US$4.500 por trabalhador. Se as estimativas estiverem corretas, isso mostra um aumento drástico em relação aos US$200 típicos por trabalhador observados em outros tipos de operações.