O worm da botnet P2PInfect está passando por um período de alta atividade desde o final de agosto e voltou a aumentar em setembro de 2023.
O P2PInfect foi documentado pela primeira vez pela Unit 42 em julho de 2023 como um malware ponto a ponto que viola instâncias do Redis usando uma falha de execução de código remoto em sistemas Windows e Linux expostos à internet.
Pesquisadores de segurança da Cado, que têm acompanhado o botnet desde o final de julho de 2023, relatam hoje a ocorrência de atividade global, com a maioria das violações afetando sistemas na China, Estados Unidos, Alemanha, Cingapura, Hong Kong, Reino Unido e Japão.
Adicionalmente, a Cado diz que as amostras mais recentes do P2PInfect possuem adições e melhorias que o tornam mais capaz de se espalhar para alvos e mostrar o contínuo desenvolvimento do malware.
A Cado vê a atividade do botnet P2PInfect, indicando que o malware entrou em um novo período de estabilidade de código que permite que ele aumente sua operação.
Os pesquisadores relatam um aumento constante no número de tentativas de acesso inicial realizadas pelo P2PInfect em suas honeypots, levando a 4.064 eventos de um único sensor em 24 de agosto de 2023.
Em 3 de setembro de 2023, os eventos de acesso inicial tinham triplicado, mas permaneceram relativamente baixos.
Então, na semana entre os dias 12 e 19 de setembro de 2023, ocorreu um surto de atividade do P2PInfect, com a Cado registrando 3.619 tentativas de acesso durante esse período, um aumento de 600 vezes.
"Esse aumento no tráfego do P2PInfect coincidiu com um número crescente de variantes vistas no ambiente, sugerindo que os desenvolvedores do malware estão operando em um ritmo de desenvolvimento extremamente alto", explica a Cado.
Junto com o aumento da atividade, a Cado observou novas amostras que tornam o P2PInfect uma ameaça mais sorrateira e formidável.
Primeiro, os autores do malware adicionaram um mecanismo de persistência baseado em cron que substitui o método anterior de 'bash_logout', acionando a carga principal a cada 30 minutos.
Além disso, o P2Pinfect agora usa uma carga útil (secundária) de bash para se comunicar com a carga útil primária por meio de um socket de servidor local, e se o processo principal parar ou for excluído, ele recupera uma cópia de um par e a reinicia.
O malware agora também usa uma chave SSH para sobrescrever qualquer chave autorizada de SSH no endpoint violado para prevenir que usuários legítimos acessem via SSH.
Se o malware tiver acesso root, ele fará uma alteração de senha para qualquer outro usuário no sistema usando uma senha automaticamente gerada de 10 caracteres para bloquear o acesso deles.
Finalmente, o P2PInfect agora usa uma configuração de struct C para seu cliente que é atualizada dinamicamente na memória, ao contrário de antes, quando não possuía um arquivo de configuração.
A Cado relata que as variantes do P2PInfect que observou recentemente tentaram buscar uma carga de mineração, mas não viram atividade real de criptografia nos dispositivos comprometidos.
Portanto, não está claro se os operadores de malware ainda estão experimentando a etapa final do ataque.
Os operadores do botnet podem estar aprimorando o componente de mineração ou procurando compradores de assinaturas para o P2PInfect, então eles usam o miner como um manequim para demonstração.
Dado o tamanho atual do botnet, sua disseminação, recursos de autoupdate e rápida expansão neste mês, o P2PInfect é uma ameaça importante para manter sob vigilância.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...