Pesquisadores de segurança cibernética descobriram uma nova variante de um botnet emergente chamado P2PInfect, capaz de direcionar roteadores e dispositivos IoT.
A última versão, de acordo com os laboratórios da Cado Security, é compilada para a arquitetura Microprocessor without Interlocked Pipelined Stages (MIPS), expandindo suas capacidades e alcance.
"É bastante provável que, ao direcionar o MIPS, os desenvolvedores do P2PInfect pretendem infectar roteadores e dispositivos IoT com o malware", disse o pesquisador de segurança Matt Muir em um relatório compartilhado com o The Hacker News.
P2PInfect, um malware baseado em Rust, foi divulgado pela primeira vez em julho de 2023, visando instâncias Redis não corrigidas ao explorar uma vulnerabilidade crítica de fuga do sandbox Lua (
CVE-2022-0543
, pontuação CVSS: 10.0) para acesso inicial.
Uma análise subsequente da empresa de segurança na nuvem em setembro revelou um aumento na atividade do P2PInfect, coincidindo com o lançamento de variantes iterativas do malware.
Os novos artefatos, além de tentar realizar ataques de força bruta SSH em dispositivos embarcados com processadores MIPS de 32 bits, incluem técnicas de evasão e anti-análise atualizadas para passar despercebidos.
As tentativas de força bruta contra servidores SSH identificados durante a fase de varredura são realizadas usando pares de nomes de usuário e senha comuns presentes no binário ELF em si.
Suspeita-se que tanto servidores SSH como Redis são vetores de propagação para a variante MIPS, devido ao fato de ser possível executar um servidor Redis em MIPS usando um pacote OpenWrt conhecido como redis-server.
Um dos métodos de evasão notáveis usados é uma verificação para determinar se está sendo analisado e, se sim, terminar a si mesmo, bem como uma tentativa de desativar os dumps do núcleo Linux, que são arquivos gerados automaticamente pelo núcleo após um processo travar inesperadamente.
A variante MIPS também inclui um módulo DLL do Windows de 64 bits incorporado para o Redis que permite a execução de comandos shell em um sistema comprometido.
"Esta não é apenas uma evolução interessante no sentido de que demostra uma ampliação do escopo pelos desenvolvedores por trás do P2PInfect (mais arquiteturas de processadores suportados equivale a mais nós na própria botnet), mas a amostra MIPS32 inclui algumas técnicas de evasão de defesa notáveis", disse Cado.
"Isso, combinado com a utilização do malware da Rust (ajudando no desenvolvimento multiplataforma) e o crescimento rápido da própria botnet, reforça sugestões anteriores de que essa campanha está sendo conduzida por um ator de ameaça sofisticado."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...