Investigadores de ciberseguridad han descubierto una nueva variante de una botnet emergente llamada P2PInfect que es capaz de atacar routers y dispositivos IoT.
La última versión, según Cado Security Labs, está compilada para microprocesadores sin arquitectura Interlocked Pipelined Stages (MIPS), lo que amplía sus capacidades y alcance.
“Es muy probable que, al apuntar a MIPS, los desarrolladores de P2PInfect tengan la intención de infectar routers y dispositivos IoT con el malware”, dijo el investigador de seguridad Matt Muir.
P2PInfect, un malware basado en Rust, se reveló por primera vez en julio de 2023 y se dirigía a instancias de Redis sin parches explotando una vulnerabilidad crítica de escape de sandbox de Lua (CVE-2022-0543, puntuación CVSS: 10,0) para el acceso inicial.
Un análisis posterior de la firma de seguridad en la nube en septiembre reveló un aumento en la actividad de P2PInfect, coincidiendo con el lanzamiento de variantes iterativas del malware.
Los nuevos artefactos, además de intentar llevar a cabo ataques de fuerza bruta SSH en dispositivos integrados con procesadores MIPS de 32 bits, incluyen técnicas actualizadas de evasión y anti-análisis para pasar desapercibidas.
Los intentos de fuerza bruta contra los servidores SSH identificados durante la fase de escaneo se llevan a cabo utilizando pares comunes de nombre de usuario y contraseña presentes en el propio binario ELF.
Se sospecha que tanto los servidores SSH como los Redis son vectores de propagación para la variante MIPS debido al hecho de que es posible ejecutar un servidor Redis en MIPS utilizando un paquete OpenWrt conocido como redis-server.
Uno de los métodos de evasión notables utilizados es una verificación para determinar si está siendo analizado y, de ser así, terminarse a sí mismo, así como un intento de deshabilitar los volcados de núcleo de Linux, que son archivos generados automáticamente por el kernel después de que un proceso se bloquea inesperadamente.
La variante MIPS también incluye un módulo DLL de Windows de 64 bits integrado para Redis que permite la ejecución de comandos de shell en un sistema comprometido.
“No solo es un desarrollo interesante, ya que demuestra una ampliación del alcance para los desarrolladores detrás de P2PInfect (más arquitecturas de procesador compatibles equivalen a más nodos en la propia botnet), sino que la muestra MIPS32 incluye algunas técnicas de evasión de defensa notables”, dijo Cado.
“Esto, combinado con la utilización de Rust por parte del malware (que ayuda al desarrollo multiplataforma) y el rápido crecimiento de la propia botnet, refuerza las sugerencias anteriores de que esta campaña está siendo llevada a cabo por un sofisticado actor de amenazas”.
