Pesquisadores de cibersegurança detalharam uma versão atualizada do malware HeadCrab, conhecido por atingir servidores de banco de dados Redis em todo o mundo desde o início de setembro de 2021.
O desenvolvimento, que vem exatamente um ano após o malware ser divulgado publicamente pela primeira vez pela Aqua, é um sinal de que o ator da ameaça, motivado financeiramente, por trás da campanha está se adaptando ativamente e aprimorando suas táticas e técnicas para se manter à frente da curva de detecção.
A firma de segurança na nuvem disse que "a campanha quase dobrou o número de servidores Redis infectados", com mais 1.100 servidores comprometidos, acima dos 1.200 relatados no início de 2023.
O HeadCrab é projetado para infiltrar-se em servidores Redis expostos à internet e manipulá-los em uma botnet para minerar criptomoedas de maneira ilícita, ao mesmo tempo que aproveita o acesso de tal maneira que permite ao ator da ameaça executar comandos shell, carregar módulos do kernel sem arquivo e exfiltrar os dados para um servidor remoto.
Embora a origem do ator da ameaça atualmente não seja conhecida, ele faz questão de observar em um "mini blog" incorporado ao malware que a atividade de mineração é "legal em meu país" e que ele faz isso porque "quase não prejudica a vida humana e os sentimentos (se feito corretamente)".
O operador, no entanto, reconhece que é uma "maneira parasitária e ineficiente" de ganhar dinheiro, adicionando que seu objetivo é fazer US$ 15.000 por ano.
"Um aspecto integral da sofisticação do HeadCrab 2.0 está em suas técnicas avançadas de evasão", disseram os pesquisadores da Aqua, Asaf Eitani e Nitzan Yaakov.
"Em contraste com seu predecessor (chamado HeadCrab 1.0), essa nova versão emprega um mecanismo de carregador sem arquivo, demonstrando o compromisso do invasor com a furtividade e persistência."
Vale ressaltar que a iteração anterior utilizava o comando SLAVEOF para baixar e salvar o arquivo de malware HeadCrab no disco, deixando vestígios de artefatos no sistema de arquivos.
Por outro lado, o HeadCrab 2.0, recebe o conteúdo do malware através do canal de comunicação Redis e o armazena em um local sem arquivo na tentativa de minimizar o rastro forense e torná-lo muito mais desafiador de detectar.
Também mudou na nova variante é o uso do comando Redis MGET para comunicações de comando e controle (C2) para maior discrição.
"Ao se conectar a este comando padrão, o malware ganha a capacidade de controlá-lo durante solicitações específicas iniciadas pelo invasor", disseram os pesquisadores.
"Essas solicitações são alcançadas enviando uma string especial como argumento para o comando MGET.
Quando essa string específica é detectada, o malware reconhece o comando como originário do invasor, acionando a comunicação maliciosa C2." Descrevendo o HeadCrab 2.0 como uma escalada na sofisticação do malware Redis, a Aqua disse que sua capacidade de mascarar suas atividades maliciosas sob o disfarce de comandos legítimos traz novos problemas para a detecção.
"Esta evolução destaca a necessidade de contínuas pesquisas e desenvolvimento em ferramentas e práticas de segurança", concluíram os pesquisadores.
"O envolvimento do invasor e a subsequente evolução do malware destacam a necessidade crítica de monitoramento vigilante e coleta de inteligência."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...