Investigadores de ciberseguridad han detallado una versión actualizada del malware cabeza de cangrejo Se sabe que se dirige a los servidores de bases de datos de Redis en todo el mundo desde principios de septiembre de 2021.
El desarrollo, que se produce exactamente un año después de que Aqua revelara públicamente por primera vez el malware, es una señal de que el actor de amenazas con motivación financiera detrás de la campaña está adaptando y refinando activamente sus tácticas y técnicas para mantenerse a la vanguardia de la curva de detección.
La empresa de seguridad en la nube dicho que «la campaña casi ha duplicado el número de servidores Redis infectados», con 1.100 servidores comprometidos adicionales, frente a los 1.200 reportados a principios de 2023.
HeadCrab está diseñado para infiltrarse en servidores Redis expuestos a Internet y convertirlos en una botnet para extraer criptomonedas ilícitamente, al mismo tiempo que aprovecha el acceso de una manera que permite al actor de amenazas ejecutar comandos de shell, cargar módulos de kernel sin archivos y filtrar datos a un servidor remoto. servidor.
Si bien actualmente se desconocen los orígenes del actor de la amenaza, es importante señalar en un «mini blog» integrado en el malware que la actividad minera es «legal en mi país» y que lo hacen porque «casi no». No daña la vida ni los sentimientos humanos (si se hace correctamente)».
El operador, sin embargo, reconoce que es una «forma parasitaria e ineficiente» de ganar dinero, añadiendo que su objetivo es ganar 15.000 dólares al año.
«Un aspecto integral de la sofisticación de HeadCrab 2.0 radica en sus avanzadas técnicas de evasión», dijeron los investigadores de Aqua Asaf Eitani y Nitzan Yaakov. «A diferencia de su predecesor (llamado HeadCrab 1.0), esta nueva versión emplea un mecanismo de carga sin archivos, lo que demuestra el compromiso del atacante con el sigilo y la persistencia».
Vale la pena señalar que la iteración anterior utilizó el comando ESCLAVO DE para descargar y guardar el archivo de malware HeadCrab en el disco, dejando así rastros de artefactos en el sistema de archivos.
HeadCrab 2.0, por otro lado, recibe el contenido del malware a través del canal de comunicación Redis y lo almacena en una ubicación sin archivos en un intento por minimizar el rastro forense y hacerlo mucho más difícil de detectar.
También cambia en la nueva variante el uso de Redis. Comando MGET para comunicaciones de comando y control (C2) para mayor encubrimiento.
«Al conectarse a este comando estándar, el malware obtiene la capacidad de controlarlo durante solicitudes específicas iniciadas por el atacante», dijeron los investigadores.
«Esas solicitudes se logran enviando una cadena especial como argumento al comando MGET. Cuando se detecta esta cadena específica, el malware reconoce que el comando se origina en el atacante, lo que desencadena la comunicación maliciosa C2».
Al describir HeadCrab 2.0 como una escalada en la sofisticación del malware Redis, Aqua dijo que su capacidad para enmascarar sus actividades maliciosas bajo la apariencia de comandos legítimos plantea nuevos problemas de detección.
«Esta evolución subraya la necesidad de investigación y desarrollo continuos en herramientas y prácticas de seguridad», concluyeron los investigadores. «La participación del atacante y la posterior evolución del malware resaltan la necesidad crítica de un monitoreo atento y recopilación de inteligencia».