ХеадЦраб Малваре

Нови, веома прикривени малвер под називом ХеадЦраб заразио је Редис сервере на мрежи и изградио ботнет за рударење Монеро криптовалуте. Малвер Тх ХеадЦрабе је успео да компромитује преко 1.200 Редис сервера, које користи за тражење више циљева. Софистицирани актери претњи који стоје иза ХеадЦраб-а развили су малвер по мери који је веома напредан и који није лако открити традиционалним решењима против малвера или системима без агената. Детаљи о малверу ХеадЦраб и претећим операцијама објављени су у извештају истраживача Инфосец.

Вектор инфекције користи злонамерни софтвер ХеадЦраб

Нападачи који стоје иза овог ботнета искоришћавају рањивост на Редис серверима, која је дизајнирана за интерну употребу унутар мреже организације и подразумевано им недостаје аутентикација. Ако администратори не успеју да правилно обезбеде своје сервере и учине их доступним са Интернета, било случајно или намерно, нападачи могу лако да стекну контролу коришћењем претећих алата или малвера. Једном када имају приступ овим серверима без аутентификације, нападачи издају команду „СЛАВЕОФ“ за синхронизацију сервера са главним сервером под њиховом контролом, омогућавајући им да примене ХеадЦраб малвер на новоотети систем.

Штетне могућности ХеадЦраб малвера

Једном инсталиран и активиран, ХеадЦраб даје нападачима читав низ способности неопходних да преузму циљани сервер и уграде га у свој ботнет за рударење криптовалута. Ради у меморији компромитованих уређаја како би избегао скенирање против малвера. Злонамерни софтвер ХеадЦраб елиминише све евиденције и комуницира само са другим серверима које контролишу његови оператери да би избегао откривање.

Нападачи комуницирају са аутентичним ИП адресама, првенствено са својим другим контаминираним серверима, како би избегли откривање и минимизирали ризик да буду блокирани безбедносним решењима. Поред тога, злонамерни софтвер ХеадЦраб је углавном заснован на Редис процесима. Ови процеси се вероватно неће сматрати претећим или сумњивим. Корисно оптерећење се учитава преко 'мемфд', датотека само за меморију, док се модули кернела учитавају директно из меморије као начин да се избегне уписивање на диск.

Анализа адресе крипто новчаника Монеро повезане са кампањом ХеадЦраб Малваре открила је да нападачи остварују приближан годишњи профит од 4.500 долара по раднику. Ако су процене тачне, то показује драстичан пораст у односу на типичних 200 долара по раднику примећен у другим од ових типова операција.