El gusano peer-to-peer (P2) conocido como P2PInfect ha experimentado un aumento en su actividad desde finales de agosto de 2023, con un aumento de 600 veces entre el 12 y el 19 de septiembre de 2023.
«Este aumento en el tráfico de P2PInfect ha coincidido con un número creciente de variantes observadas en la naturaleza, lo que sugiere que los desarrolladores del malware están operando a una cadencia de desarrollo extremadamente alta», dijo Matt Muir, investigador de Cado Security, en un informe publicado el miércoles .
La mayoría de los compromisos se han reportado en China, Estados Unidos, Alemania, el Reino Unido, Singapur, Hong Kong y Japón.
P2PInfect salió a la luz por primera vez en julio de 2023 por su capacidad para violar instancias de Redis mal protegidas. Desde entonces, los actores de amenazas detrás de la campaña han recurrido a diferentes enfoques para el acceso inicial, incluido el abuso de la función de replicación de la base de datos para distribuir el malware.
Cado Security dijo que ha observado un aumento en los eventos de acceso inicial atribuibles a P2PInfect en los que un nodo controlado por un actor emite el comando Redis SLAVEOF a un objetivo para permitir la replicación.
A esto le sigue la entrega de un módulo de Redis malicioso al objetivo, que, a su vez, ejecuta un comando para recuperar e iniciar la carga útil principal, después de lo cual se ejecuta otro comando de shell para eliminar el módulo de Redis del disco y deshabilitar la replicación. .
Programa malicioso P2PInfect
Una de las nuevas características de las variantes más nuevas es la adición de un mecanismo de persistencia que aprovecha una tarea cron para iniciar el malware cada 30 minutos. Además, ahora existe un método secundario que recupera una copia del binario del malware de un par y lo ejecuta. en caso de que se elimine o se finalice el proceso principal.
P2PInfect sobrescribe aún más los archivos SSH autorizados_keys existentes con una clave SSH controlada por el atacante, evitando efectivamente que los usuarios existentes inicien sesión a través de SSH.
«La carga útil principal también recorre todos los usuarios del sistema e intenta cambiar sus contraseñas de usuario a una cadena con el prefijo Pa_ y seguida de 7 caracteres alfanuméricos (por ejemplo, Pa_13HKlak)», dijo Muir. Sin embargo, este paso requiere que el malware tenga acceso de root.
A pesar de la creciente sofisticación del malware, los objetivos exactos de P2PInfect no están claros. Cado Security dijo que observó que el malware intentaba recuperar una carga útil de criptominero, pero hasta la fecha no hay evidencia de criptominería.
«Está claro que los desarrolladores de P2PInfect están comprometidos a mantener e iterar la funcionalidad de sus cargas maliciosas, mientras simultáneamente escalan la botnet a través de continentes y proveedores de nube a un ritmo rápido», dijo Muir.
«Se espera que quienes están detrás de la botnet estén esperando implementar funciones adicionales en la carga útil del minero o tengan la intención de vender el acceso a la botnet a otros individuos o grupos».
Fuente y redacción: thehackernews.com
