O malware HeadCrab, conhecido por adicionar dispositivos infectados a uma botnet usada para mineração de criptomoedas e outros ataques, ressurgiu com uma nova variante que permite acesso root a servidores Redis de código aberto.

Os pesquisadores identificaram que a segunda variante do malware de mineração de criptomoedas já infectou 1.100 servidores, enquanto a primeira variante havia infectado pelo menos 1.200 servidores.

Embora o HeadCrab não seja um rootkit tradicional, o criador do malware adicionou a capacidade de controlar uma função e enviar uma resposta. Basicamente, isso é um comportamento de rootkit no sentido de que ele controla todas as respostas para esses lugares.

Sendo assim, ele pode modificar a resposta e se tornar invisível. A nova variante vem com atualizações menores que permitem ao atacante ocultar melhor suas ações, removendo comandos personalizados e adicionando criptografia à infraestrutura de comando e controle. Um elemento particularmente único do HeadCrab é um “mini blog” dentro do malware, onde o autor do malware escreveu detalhes técnicos do malware e deixou um endereço de e-mail Proton Mail para permanecer anônimo.

Os pesquisadores recomendaram que as organizações verifiquem vulnerabilidades e más configurações em seus servidores e usem o modo protegido no Redis para reduzir a chance de infecção pelo HeadCrab.