Los investigadores de ciberseguridad han descubierto una nueva variante de una botnet emergente llamada P2PInfect que es capaz de apuntar a enrutadores y dispositivos de IoT.
La última versión, según Cado Security Labs, está compilada para la arquitectura de microprocesador sin etapas interbloqueadas de canalización ( MIPS ), ampliando sus capacidades y alcance.
«Es muy probable que al apuntar a MIPS, los desarrolladores de P2PInfect pretendan infectar enrutadores y dispositivos IoT con malware», dijo el investigador de seguridad Matt Muir en un informe compartido con The Hacker News.
P2PInfect, un malware basado en Rust, se reveló por primera vez en julio de 2023 y apuntaba a instancias de Redis sin parches mediante la explotación de una vulnerabilidad crítica de escape de la zona de pruebas de Lua ( CVE-2022-0543 , puntuación CVSS: 10.0) para el acceso inicial.
Un análisis posterior de la empresa de seguridad en la nube en septiembre reveló un aumento en la actividad de P2PInfect, coincidiendo con el lanzamiento de variantes iterativas del malware.
Los nuevos artefactos, además de intentar realizar ataques de fuerza bruta SSH en dispositivos integrados con procesadores MIPS de 32 bits, incluyen técnicas actualizadas de evasión y antianálisis para pasar desapercibidas.
Los intentos de fuerza bruta contra los servidores SSH identificados durante la fase de escaneo se llevan a cabo utilizando pares comunes de nombre de usuario y contraseña presentes dentro del propio binario ELF.
Se sospecha que tanto los servidores SSH como Redis son vectores de propagación para la variante MIPS debido al hecho de que es posible ejecutar un servidor Redis en MIPS usando un paquete OpenWrt conocido como redis-server .
Uno de los métodos de evasión notables utilizados es una verificación para determinar si está siendo analizado y, de ser así, finalizarse, así como un intento de deshabilitar los volcados de núcleo de Linux , que son archivos generados automáticamente por el kernel después de que un proceso falla inesperadamente.
La variante MIPS también incluye un módulo DLL de Windows de 64 bits integrado para Redis que permite la ejecución de comandos de shell en un sistema comprometido.
«No sólo es un desarrollo interesante porque demuestra una ampliación del alcance para los desarrolladores detrás de P2PInfect (más arquitecturas de procesador compatibles equivalen a más nodos en la propia botnet), sino que la muestra MIPS32 incluye algunas técnicas de evasión de defensa notables», dijo Cado.
«Esto, combinado con la utilización de Rust por parte del malware (que ayuda al desarrollo multiplataforma) y el rápido crecimiento de la propia botnet, refuerza las sugerencias anteriores de que esta campaña está siendo dirigida por un actor de amenazas sofisticado».
Fuente y redacción: thehackernews.com
