El malware P2Pinfect se dirige a servidores Windows y Linux Redis

Recientemente surgió una campaña de malware novedosa y altamente sofisticada denominada "P2Pinfect", dirigida a implementaciones de acceso público del almacén de datos de Redis. Cado Security Labs reveló que el malware está codificado en el lenguaje de programación Rust, lo que presenta complejidades que dificultan su análisis.

Para proporcionar contexto, vale la pena señalar que antes del análisis de P2Pinfect de Cado Security, los investigadores de Unit42 ya habían realizado un examen por separado de la variante de Windows del mismo malware.

Los investigadores de Cado Security descubrieron que el malware P2Pinfect funciona como un agente de botnet y posee la capacidad única de operar sin problemas en plataformas Windows y Linux. Identificaron un ejecutable portátil (PE) integrado y un ejecutable ELF adicional en la muestra de malware, lo que confirma su capacidad para infectar sistemas que se ejecutan en ambos sistemas operativos.

Modo de funcionamiento de P2Pinfect

El malware inicia su intrusión en los sistemas comprometidos al explotar la función de replicación de los almacenes de datos de Redis. Una vez que se logra la replicación, el malware procede a cargar un archivo de objeto compartido malicioso, otorgándole acceso de shell inverso y el poder de ejecutar comandos de shell arbitrarios en el host.

Para evadir la detección y el análisis, el malware emplea sofisticadas técnicas de evasión, lo que dificulta su identificación.

Al establecer un punto de apoyo, P2Pinfect exhibe un comportamiento similar al de un gusano al intentar propagarse activamente a otros hosts dentro de la red. Busca activamente servidores Redis y SSH expuestos, utilizando una lista de contraseñas para lanzar ataques de fuerza bruta.

Además, el malware configura una botnet peer-to-peer descentralizada, donde los servidores infectados actúan como nodos que se conectan con otros servidores comprometidos. Este enfoque permite que la botnet se comunique entre sí sin depender de un servidor centralizado de comando y control (C2).

Cado Security Labs también descubrió que el malware tiene la capacidad de soltar y ejecutar cargas útiles adicionales. Sin embargo, de manera similar a los hallazgos de Unit42, no observaron ninguna actividad de minería de criptomonedas en la muestra analizada.

Los expertos señalaron que la arquitectura del malware permite a su operador implementar rápidamente cualquier carga útil de su elección. Se comprometieron a continuar monitoreando P2Pinfect y proporcionar actualizaciones a medida que ocurran nuevos desarrollos.