HeadCrab 2.0 se torna Fileless, mirando servidores Redis para mineração de criptomoedas
1 de Fevereiro de 2024

Pesquisadores de cibersegurança detalharam uma versão atualizada do malware HeadCrab, conhecido por atingir servidores de banco de dados Redis em todo o mundo desde o início de setembro de 2021.

O desenvolvimento, que vem exatamente um ano após o malware ser divulgado publicamente pela primeira vez pela Aqua, é um sinal de que o ator da ameaça, motivado financeiramente, por trás da campanha está se adaptando ativamente e aprimorando suas táticas e técnicas para se manter à frente da curva de detecção.

A firma de segurança na nuvem disse que "a campanha quase dobrou o número de servidores Redis infectados", com mais 1.100 servidores comprometidos, acima dos 1.200 relatados no início de 2023.

O HeadCrab é projetado para infiltrar-se em servidores Redis expostos à internet e manipulá-los em uma botnet para minerar criptomoedas de maneira ilícita, ao mesmo tempo que aproveita o acesso de tal maneira que permite ao ator da ameaça executar comandos shell, carregar módulos do kernel sem arquivo e exfiltrar os dados para um servidor remoto.

Embora a origem do ator da ameaça atualmente não seja conhecida, ele faz questão de observar em um "mini blog" incorporado ao malware que a atividade de mineração é "legal em meu país" e que ele faz isso porque "quase não prejudica a vida humana e os sentimentos (se feito corretamente)".

O operador, no entanto, reconhece que é uma "maneira parasitária e ineficiente" de ganhar dinheiro, adicionando que seu objetivo é fazer US$ 15.000 por ano.

"Um aspecto integral da sofisticação do HeadCrab 2.0 está em suas técnicas avançadas de evasão", disseram os pesquisadores da Aqua, Asaf Eitani e Nitzan Yaakov.

"Em contraste com seu predecessor (chamado HeadCrab 1.0), essa nova versão emprega um mecanismo de carregador sem arquivo, demonstrando o compromisso do invasor com a furtividade e persistência."

Vale ressaltar que a iteração anterior utilizava o comando SLAVEOF para baixar e salvar o arquivo de malware HeadCrab no disco, deixando vestígios de artefatos no sistema de arquivos.

Por outro lado, o HeadCrab 2.0, recebe o conteúdo do malware através do canal de comunicação Redis e o armazena em um local sem arquivo na tentativa de minimizar o rastro forense e torná-lo muito mais desafiador de detectar.

Também mudou na nova variante é o uso do comando Redis MGET para comunicações de comando e controle (C2) para maior discrição.

"Ao se conectar a este comando padrão, o malware ganha a capacidade de controlá-lo durante solicitações específicas iniciadas pelo invasor", disseram os pesquisadores.

"Essas solicitações são alcançadas enviando uma string especial como argumento para o comando MGET.

Quando essa string específica é detectada, o malware reconhece o comando como originário do invasor, acionando a comunicação maliciosa C2." Descrevendo o HeadCrab 2.0 como uma escalada na sofisticação do malware Redis, a Aqua disse que sua capacidade de mascarar suas atividades maliciosas sob o disfarce de comandos legítimos traz novos problemas para a detecção.

"Esta evolução destaca a necessidade de contínuas pesquisas e desenvolvimento em ferramentas e práticas de segurança", concluíram os pesquisadores.

"O envolvimento do invasor e a subsequente evolução do malware destacam a necessidade crítica de monitoramento vigilante e coleta de inteligência."

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...