Categorie
Sicurezza Informatica

P2Pinfect, da dormiente a pericoloso: nuovi payload di Ransomware e Cryptominer

P2Pinfect evolve con nuovi payload di ransomware e cryptominer. Scopri come questo malware basato su Rust sfrutta Redis e una botnet P2P per diffondersi e massimizzare i profitti degli attaccanti.

P2Pinfect è un malware basato su Rust, analizzato a fondo da Cado Security. Questo malware utilizza una botnet peer-to-peer (P2P) per il suo meccanismo di comando e controllo. Inizialmente, P2Pinfect sembrava essere in gran parte dormiente, diffondendosi principalmente attraverso Redis e un limitato spreader SSH. Tuttavia, recentemente, è stato aggiornato per includere payload di ransomware e cryptominer.

P2Pinfect è stato scoperto per la prima volta da Cado Security durante l’analisi della telemetria di honeypot nel luglio 2023. La campagna è iniziata il 23 giugno, basandosi sul certificato TLS utilizzato per le comunicazioni C2.

Accesso Iniziale

Il malware si diffonde sfruttando le funzionalità di replica in Redis. Utilizza il comando SLAVEOF per trasformare i nodi Redis scoperti in follower del server dell’attaccante. Una volta completato, l’attaccante può inviare comandi arbitrari ai nodi follower.

Annunci

P2Pinfect sfrutta anche un altro vettore di accesso iniziale in Redis, abusando dei comandi di configurazione per scrivere un cron job nella directory cron.

Payload Principale

P2Pinfect è un worm, quindi tutte le macchine infette scansionano internet per trovare altri server da infettare. Dispone di un semplice password sprayer SSH, ma ha un tasso di successo inferiore rispetto a Redis. Dopo l’infezione, il malware aggiunge una chiave SSH nel file autorizzato dell’utente corrente e limita l’accesso a Redis agli IP delle connessioni esistenti.

La botnet P2Pinfect forma una grande rete mesh, permettendo al malware di propagare aggiornamenti binari attraverso il meccanismo di gossip.

Nuovi payload

Ransomware

Una volta che un nuovo peer si unisce alla botnet, P2Pinfect riceve un comando per scaricare ed eseguire un nuovo payload ransomware chiamato “rsagen”. Questo payload esegue la crittografia dei file e aggiunge una nota di riscatto.

Cryptominer

Il malware include anche un miner Monero, attivato circa cinque minuti dopo l’avvio del payload principale. Il miner è preconfigurato con il wallet Monero e il pool di mining.

Rootkit in User Mode

P2Pinfect ora include un rootkit in user mode, che modifica i file .bashrc per caricare un file libs.so.1. Questo file hijacka le chiamate a fopen, open, lstat, unlink e readdir per nascondere specifiche informazioni di processo.

P2Pinfect è un malware altamente sofisticato che continua a evolversi, aggiungendo nuove funzionalità per massimizzare i profitti degli attaccanti. Le recenti aggiunte di ransomware, cryptominer e rootkit dimostrano gli sforzi continui degli autori del malware per sfruttare l’accesso illecito e diffondere ulteriormente la rete.

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Exit mobile version