As variantes mais recentes e também mais furtivas do malware P2Pinfect agora estão focadas em infectar dispositivos com processadores MIPS (microprocessador sem estágios interligados de pipeline) de 32 bits, como roteadores e dispositivos IoT.
Processadores MIPS na mira do P2Pinfect
Devido à sua eficiência e design compacto, os chips MIPS são predominantes em sistemas embarcados como roteadores, gateways residenciais e consoles de videogame. O P2Pinfect foi descoberto em julho de 2023 pelos analistas da Palo Alto Networks (Unidade 42) como um novo worm baseado em Rust que tem como alvo servidores Redis vulneráveis ??ao CVE-2022-0543.
Após sua descoberta inicial, os analistas da Cado Security (Via: Bleeping Computer) que examinaram o P2Pinfect relataram que ele estava abusando do recurso de replicação do Redis para se espalhar, criando réplicas da instância infectada.
Mais tarde, em setembro, Cado alertou sobre o aumento da atividade do botnet P2Pinfect visando sistemas nos Estados Unidos, Alemanha, Reino Unido, Japão, Cingapura, Hong Kong e China. Agora, Cado relata um novo desenvolvimento relativo à botnet, que marca uma evolução significativa no escopo de direcionamento do projeto e na capacidade de evitar a detecção.
Nova variante MIPS
Os últimos ataques observados nos honeypots da Cado procuram servidores SSH que usam credenciais fracas e tentam fazer upload do binário MIPS via SFTP e SCP. Curiosamente, a propagação da variante MIPS não está restrita ao SSH, pois os pesquisadores detectaram tentativas de executar o servidor Redis em dispositivos MIPS por meio de um pacote OpenWRT chamado ‘redis-server’.
Notícias Relacionadas
Malware GitHub
Campanha inteligente abusa de repositórios GitHub para enviar malware
Uma nova campanha de ameaças inteligente abusa de repositórios do GitHub para distribuir o malware de roubo de senhas chamado Lumma Stealer. A campanha visa usuários que frequentam um repositório de projeto de código aberto ou que estão inscritos para receber notificações por e-mail dele. Malware Lumma Stealer sendo distribuído via repositórios GitHub Um usuário […]
Desenvolvedores Python
Desenvolvedores Python estão sendo hackeados via teste de codificação de gerenciador de senhas falso
Membros Lazarus Group estão se passando por recrutadores, hackeando desenvolvedores Python com projetos de teste de codificação para produtos de gerenciamento de senhas que incluem malware. Desenvolvedores Python hackeados Os ataques de malwares fazem parte da ‘campanha VMConnect’ detectada pela primeira vez em agosto de 2023 (Via: Bleeping Computer), onde os cibercriminosos visavam desenvolvedores de […]
Durante a análise estática, os pesquisadores do Cado descobriram que o novo P2Pinfect é um binário ELF de 32 bits sem informações de depuração e uma DLL do Windows de 64 bits incorporada, que atua como um módulo carregável para Redis para permitir a execução de comandos shell no host.
Malware P2Pinfect mais evasivo
A mais nova variante do P2Pinfect implementa mecanismos de evasão sofisticados e multifacetados que tornam sua detecção e análise muito mais desafiadoras. De acordo com a Cado, os seguintes mecanismos de evasão foram introduzidos no último P2Pinfect:
- Implementação de uma verificação do valor “TracerPid” no arquivo de status do processo para determinar se as ferramentas de análise estão rastreando o processo de malware e encerrando se estiver.
- Uso de chamadas de sistema para desabilitar core dumps do Linux, evitando o dump de conteúdos de memória que contenham rastros de sua atividade.
- A DLL incorporada contém uma função para evitar máquinas virtuais (VMs).
O desenvolvimento contínuo do P2Pinfect e a expansão do direcionamento do malware indicam um alto nível de habilidade de codificação e determinação de seus autores.
