HeadCrab Malware

Un nou malware, extrem de ascuns, numit HeadCrab, a infectat serverele Redis online și a construit o rețea botnet pentru a extrage criptomoneda Monero. Programul malware HeadCrabe a reușit să compromită peste 1.200 de servere Redis, pe care le folosește pentru a căuta mai multe ținte. Actorii sofisticați ai amenințărilor din spatele HeadCrab au dezvoltat malware personalizat, care este foarte avansat și nu este ușor de detectat de soluțiile anti-malware tradiționale sau de sistemele fără agent. Detalii despre malware HeadCrab și operațiunile de amenințare au fost publicate într-un raport de cercetătorii Infosec.

Vector de infecție exploatat de malware HeadCrab

Atacatorii din spatele acestei rețele bot exploatează o vulnerabilitate a serverelor Redis, care este concepută pentru uz intern în rețeaua unei organizații și nu are autentificare în mod implicit. Dacă administratorii nu reușesc să-și securizeze în mod corespunzător serverele și să le facă accesibile de pe Internet, fie accidental, fie intenționat, atacatorii pot obține cu ușurință controlul utilizând instrumente amenințătoare sau malware. Odată ce au acces la aceste servere neautentificate, atacatorii lansează o comandă „SLAVEOF” pentru a sincroniza serverul cu un server principal aflat sub controlul lor, permițându-le să implementeze malware HeadCrab pe noul sistem deturnat.

Capabilitățile dăunătoare ale programului malware HeadCrab

Odată instalat și activat, HeadCrab oferă atacatorilor o gamă completă de abilități necesare pentru a prelua serverul vizat și pentru a-l încorpora în rețeaua lor botnet de cripto-mining. Funcționează în memoria dispozitivelor compromise pentru a evita scanările anti-malware. Malware HeadCrab elimină toate jurnalele și comunică doar cu alte servere controlate de operatorii săi pentru a scăpa de detectare.

Atacatorii comunică cu adrese IP autentice, în primul rând cu celelalte servere contaminate ale lor, pentru a evita detectarea și pentru a minimiza riscul de a fi blocați de soluțiile de securitate. În plus, malware-ul HeadCrab se bazează în mare parte pe procese Redis. Este puțin probabil ca aceste procese să fie considerate amenințătoare sau suspecte. Încărcările utile sunt încărcate prin „memfd”, fișiere numai pentru memorie, în timp ce modulele nucleului sunt încărcate direct din memorie ca o modalitate de a evita scrierile pe disc.

Analiza adresei cripto-portofel Monero asociată cu campania HeadCrab Malware a arătat că atacatorii obțin un profit anual de aproximativ 4.500 USD per lucrător. Dacă estimările sunt corecte, aceasta arată o creștere drastică peste 200 USD per muncitor observată în alte tipuri de operațiuni.