Logiciel malveillant HeadCrab

Un nouveau logiciel malveillant hautement furtif appelé HeadCrab a infecté les serveurs Redis en ligne et construit un botnet pour exploiter la crypto-monnaie Monero. Le malware HeadCrabe a réussi à compromettre plus de 1 200 serveurs Redis, qu'il utilise pour rechercher davantage de cibles. Les acteurs sophistiqués de la menace derrière HeadCrab ont développé des logiciels malveillants sur mesure qui sont très avancés et difficiles à détecter par les solutions anti-malware traditionnelles ou les systèmes sans agent. Des détails sur le logiciel malveillant HeadCrab et les opérations menaçantes ont été publiés dans un rapport de chercheurs d'infosec.

Vecteur d'infection exploité par HeadCrab Malware

Les attaquants derrière ce botnet exploitent une vulnérabilité dans les serveurs Redis, qui est conçue pour une utilisation interne au sein du réseau d'une organisation et manque d'authentification par défaut. Si les administrateurs ne parviennent pas à sécuriser correctement leurs serveurs et à les rendre accessibles depuis Internet, accidentellement ou intentionnellement, les attaquants peuvent facilement prendre le contrôle en utilisant des outils menaçants ou des logiciels malveillants. Une fois qu'ils ont accès à ces serveurs non authentifiés, les attaquants émettent une commande "SLAVEOF" pour synchroniser le serveur avec un serveur maître sous leur contrôle, leur permettant de déployer le malware HeadCrab sur le système nouvellement piraté.

Capacités nuisibles de HeadCrab Malware

Une fois installé et activé, HeadCrab donne aux attaquants une gamme complète de capacités nécessaires pour prendre le contrôle du serveur ciblé et l'incorporer dans leur botnet de crypto-minage. Il opère dans la mémoire des appareils compromis pour esquiver les analyses anti-malware. Le malware HeadCrab élimine tous les journaux et ne communique qu'avec d'autres serveurs contrôlés par ses opérateurs pour échapper à la détection.

Les attaquants communiquent avec des adresses IP authentiques, principalement leurs autres serveurs contaminés, pour échapper à la détection et minimiser le risque d'être bloqués par des solutions de sécurité. De plus, le HeadCrab Malware est principalement basé sur les processus Redis. Ces processus ne sont pas susceptibles d'être considérés comme menaçants ou suspects. Les charges utiles sont chargées via "memfd", des fichiers uniquement en mémoire, tandis que les modules du noyau sont chargés directement depuis la mémoire afin d'éviter les écritures sur disque.

L'analyse de l'adresse du portefeuille cryptographique Monero associée à la campagne HeadCrab Malware a révélé que les attaquants engrangent un bénéfice annuel d'environ 4 500 $ par travailleur. Si les estimations sont correctes, cela montre une augmentation drastique par rapport aux 200 $ typiques par travailleur observés dans d'autres types d'opérations.