O malware P2Pinfect tem como alvo servidores Windows e Linux Redis

Uma nova e altamente sofisticada campanha de malware apelidada de "P2Pinfect" surgiu recentemente, visando implantações acessíveis ao público do armazenamento de dados Redis. O Cado Security Labs revelou que o malware é codificado na linguagem de programação Rust, apresentando complexidades que dificultam a análise.

Para fornecer contexto, vale a pena notar que, antes da análise do P2Pinfect pela Cado Security, os pesquisadores da Unit42 já haviam conduzido um exame separado da variante do Windows do mesmo malware.

Os pesquisadores da Cado Security descobriram que o malware P2Pinfect funciona como um agente de botnet e possui a capacidade única de operar perfeitamente nas plataformas Windows e Linux. Eles identificaram um executável portátil (PE) incorporado e um executável ELF adicional na amostra de malware, confirmando sua capacidade de infectar sistemas em execução em ambos os sistemas operacionais.

Modo de operação do P2Pinfect

O malware inicia sua invasão nos sistemas comprometidos explorando o recurso de replicação dos armazenamentos de dados Redis. Depois que a replicação é alcançada, o malware carrega um arquivo de objeto compartilhado malicioso, concedendo a ele acesso reverso ao shell e o poder de executar comandos shell arbitrários no host.

Para escapar da detecção e análise, o malware emprega técnicas sofisticadas de evasão, tornando sua identificação mais desafiadora.

Ao estabelecer uma posição, o P2Pinfect exibe um comportamento semelhante a um worm, tentando ativamente se propagar para outros hosts dentro da rede. Ele verifica ativamente servidores Redis e SSH expostos, usando uma lista de senhas para iniciar ataques de força bruta.

Além disso, o malware configura uma botnet ponto a ponto descentralizada, na qual os servidores infectados agem como nós que se conectam a outros servidores comprometidos. Essa abordagem permite que o botnet se comunique entre si sem depender de um servidor centralizado de comando e controle (C2).

O Cado Security Labs também descobriu que o malware tem a capacidade de descartar e executar cargas adicionais. No entanto, semelhante às descobertas da Unit42, eles não observaram nenhuma atividade de mineração de criptomoeda na amostra analisada.

Os especialistas observaram que a arquitetura do malware permite que seu operador implante rapidamente qualquer carga útil de sua escolha. Eles se comprometeram a continuar monitorando o P2Pinfect e fornecer atualizações à medida que novos desenvolvimentos ocorrerem.