Malware HeadCrab
Un nuevo malware altamente sigiloso llamado HeadCrab ha estado infectando los servidores de Redis en línea y construyendo una red de bots para minar la criptomoneda Monero. El malware HeadCrabe ha logrado comprometer más de 1200 servidores Redis, que utiliza para buscar más objetivos. Los sofisticados actores de amenazas detrás de HeadCrab han desarrollado malware personalizado que es muy avanzado y no es fácil de detectar con las soluciones antimalware tradicionales o los sistemas sin agente. Los detalles sobre el malware HeadCrab y las operaciones amenazantes se publicaron en un informe de investigadores de infosec.
Vector de infección explotado por HeadCrab Malware
Los atacantes detrás de esta botnet explotan una vulnerabilidad en los servidores Redis, que está diseñado para uso interno dentro de la red de una organización y carece de autenticación de forma predeterminada. Si los administradores no logran proteger adecuadamente sus servidores y hacerlos accesibles desde Internet, ya sea accidental o intencionalmente, los atacantes pueden obtener fácilmente el control mediante el uso de herramientas amenazantes o malware. Una vez que tienen acceso a estos servidores no autenticados, los atacantes emiten un comando "SLAVEOF" para sincronizar el servidor con un servidor maestro bajo su control, lo que les permite implementar el malware HeadCrab en el sistema recién secuestrado.
Capacidades dañinas de HeadCrab Malware
Una vez instalado y activado, HeadCrab brinda a los atacantes una gama completa de habilidades necesarias para hacerse cargo del servidor objetivo e incorporarlo a su red de bots de criptominería. Opera en la memoria de los dispositivos comprometidos para esquivar los análisis antimalware. El malware HeadCrab elimina todos los registros y solo se comunica con otros servidores controlados por sus operadores para escapar de la detección.
Los atacantes se comunican con direcciones IP auténticas, principalmente con sus otros servidores contaminados, para eludir la detección y minimizar el riesgo de ser bloqueados por soluciones de seguridad. Además, HeadCrab Malware se basa principalmente en procesos de Redis. No es probable que estos procesos se consideren amenazantes o sospechosos. Las cargas útiles se cargan a través de 'memfd', archivos de solo memoria, mientras que los módulos del kernel se cargan directamente desde la memoria como una forma de evitar escrituras en el disco.
El análisis de la dirección de la billetera criptográfica Monero asociada con la campaña HeadCrab Malware ha revelado que los atacantes están obteniendo una ganancia anual aproximada de $4500 por trabajador. Si las estimaciones son correctas, muestra un aumento drástico sobre los típicos $200 por trabajador observados en otros tipos de operaciones de este tipo.
