01 de febrero de 2024Sala de prensaCriptomonedas/Botnet Investigadores de ciberseguridad han detallado una versión actualizada del malware HeadCrab que se sabe que se dirige a los servidores de bases de datos de Redis en todo el mundo desde principios de septiembre de 2021. El desarrollo, que se produce exactamente un año después de que el malware se revelara públicamente por primera vez. por Aqua, es una señal de que el actor de amenazas motivado financieramente detrás de la campaña está adaptando y refinando activamente sus tácticas y técnicas para mantenerse a la vanguardia de la curva de detección. La firma de seguridad en la nube dijo que «la campaña casi ha duplicado el número de servidores Redis infectados», con 1.100 servidores comprometidos adicionales, frente a los 1.200 reportados a principios de 2023. HeadCrab está diseñado para infiltrarse en servidores Redis expuestos a Internet y disputarlos. en una botnet para extraer criptomonedas ilícitamente, al mismo tiempo que aprovecha el acceso de una manera que permite al actor de la amenaza ejecutar comandos de shell, cargar módulos del kernel sin archivos y filtrar datos a un servidor remoto. Si bien actualmente se desconocen los orígenes del actor de la amenaza, es importante señalar en un «mini blog» integrado en el malware que la actividad minera es «legal en mi país» y que lo hacen porque «casi no». No daña la vida ni los sentimientos humanos (si se hace correctamente)». El operador, sin embargo, reconoce que es una «forma parasitaria e ineficiente» de ganar dinero, añadiendo que su objetivo es ganar 15.000 dólares al año. «Un aspecto integral de la sofisticación de HeadCrab 2.0 radica en sus avanzadas técnicas de evasión», dijeron los investigadores de Aqua Asaf Eitani y Nitzan Yaakov. «A diferencia de su predecesor (llamado HeadCrab 1.0), esta nueva versión emplea un mecanismo de carga sin archivos, lo que demuestra el compromiso del atacante con el sigilo y la persistencia». Vale la pena señalar que la iteración anterior utilizó el comando SLAVEOF para descargar y guardar el archivo de malware HeadCrab en el disco, dejando así rastros de artefactos en el sistema de archivos. HeadCrab 2.0, por otro lado, recibe el contenido del malware a través del canal de comunicación Redis y lo almacena en una ubicación sin archivos en un intento por minimizar el rastro forense y hacerlo mucho más difícil de detectar. También se ha cambiado en la nueva variante el uso del comando Redis MGET para comunicaciones de comando y control (C2) para mayor ocultación. «Al conectarse a este comando estándar, el malware obtiene la capacidad de controlarlo durante solicitudes específicas iniciadas por el atacante», dijeron los investigadores. «Esas solicitudes se logran enviando una cadena especial como argumento al comando MGET. Cuando se detecta esta cadena específica, el malware reconoce que el comando se origina en el atacante, lo que desencadena la comunicación maliciosa C2». Al describir HeadCrab 2.0 como una escalada en la sofisticación del malware Redis, Aqua dijo que su capacidad para enmascarar sus actividades maliciosas bajo la apariencia de comandos legítimos plantea nuevos problemas de detección. «Esta evolución subraya la necesidad de investigación y desarrollo continuos en herramientas y prácticas de seguridad», concluyeron los investigadores. «La participación del atacante y la posterior evolución del malware resaltan la necesidad crítica de un monitoreo atento y recopilación de inteligencia». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link