O botnet de malware peer-to-peer conhecido como P2PInfect foi encontrado visando servidores Redis mal configurados com ransomware e mineradores de criptomoedas.
O desenvolvimento marca a transição da ameaça do que parecia ser um botnet inativo com motivos pouco claros para uma operação motivada financeiramente.
“Com suas atualizações mais recentes para o minerador de criptografia, carga útil de ransomware e elementos de rootkit, isso demonstra os esforços contínuos do autor do malware para lucrar com seu acesso ilícito e espalhar ainda mais a rede, à medida que continua a se espalhar pela Web”, disse Cado Safety em um relatório publicado esta semana.
O P2PInfect surgiu há quase um ano e, desde então, recebeu atualizações para atingir as arquiteturas MIPS e ARM. No início de janeiro, a Nozomi Networks descobriu o uso do malware para entregar cargas úteis de mineradores.
Normalmente, ele se espalha visando servidores Redis e seu recurso de replicação para transformar os sistemas vítimas em um nó seguidor do servidor controlado pelo invasor, permitindo subsequentemente que ele emita comandos arbitrários para eles.
O worm baseado em Rust também apresenta a capacidade de verificar a Web em busca de servidores mais vulneráveis, sem mencionar a incorporação de um módulo pulverizador de senha SSH que tenta fazer login usando senhas comuns.
Além de tomar medidas para evitar que outros invasores atinjam o mesmo servidor, o P2PInfect é conhecido por alterar as senhas de outros usuários, reiniciar o serviço SSH com permissões de root e até mesmo realizar escalonamento de privilégios.
“Como o nome sugere, é uma botnet peer-to-peer, onde cada máquina infectada atua como um nó na rede e mantém uma conexão com vários outros nós”, disse o pesquisador de segurança Nate Invoice.
“Isso resulta na formação de uma enorme rede mesh pelo botnet, que o autor do malware utiliza para enviar binários atualizados pela rede, por meio de um mecanismo de fofoca. O autor simplesmente precisa notificar um peer, e ele informará todos os seus friends e assim por diante até que o novo binário seja totalmente propagado pela rede.”
Entre as novas mudanças comportamentais no P2PInfect está o uso do malware para descartar cargas úteis de mineradores e ransomware, o último dos quais foi projetado para criptografar arquivos que correspondem a determinadas extensões de arquivo e entregar uma nota de resgate pedindo às vítimas que paguem 1 XMR (~$165).
“Como este é um ataque não direcionado e oportunista, é provável que as vítimas sejam de baixo valor, portanto é de se esperar um preço baixo”, destacou Invoice.
Também digno de nota é um novo rootkit usermode que faz uso da variável de ambiente LD_PRELOAD para ocultar seus processos e arquivos maliciosos das ferramentas de segurança, uma técnica também adotada por outros grupos de cryptojacking como o TeamTNT.
Suspeita-se que o P2PInfect seja anunciado como um serviço de botnet de aluguel, agindo como um canal para implantar cargas úteis de outros invasores em troca de pagamento.
Esta teoria é reforçada pelo facto de os endereços da carteira do mineiro e do ransomware serem diferentes, e de o processo do mineiro estar configurado para ocupar o máximo de poder de processamento possível, fazendo com que interfira no funcionamento do ransomware.
“A escolha de uma carga útil de ransomware para malware visando principalmente um servidor que armazena dados efêmeros na memória é estranha, e o P2Pinfect provavelmente obterá muito mais lucro com seu minerador do que com seu ransomware devido à quantidade limitada de arquivos de baixo valor que ele pode acessar devido ao seu nível de permissão”, disse Invoice.
“A introdução do rootkit usermode é uma adição 'boa no papel' ao malware. Se o acesso inicial for Redis, o rootkit usermode também será completamente ineficaz, pois só pode adicionar o pré-carregamento para a conta de serviço Redis, que outros usuários provavelmente não fará login como.”
A divulgação segue as revelações do AhnLab Safety Intelligence Heart (ASEC) de que servidores internet vulneráveis que apresentam falhas não corrigidas ou são mal protegidos estão sendo alvo de suspeitos de ameaças de língua chinesa para implantar mineradores de criptografia.
“O controle remoto é facilitado por meio de internet shells instalados e NetCat, e dada a instalação de ferramentas de proxy destinadas ao acesso RDP, a exfiltração de dados pelos atores da ameaça é uma possibilidade distinta”, disse ASEC, destacando o uso de Behinder, China Chopper, Godzilla, BadPotato, cpolar e RingQ.
O Fortinet FortiGuard Labs também apontou que botnets como UNSTABLE, Condi e Skibidi estão abusando de operadores legítimos de armazenamento em nuvem e serviços de computação para distribuir cargas úteis de malware e atualizações para uma ampla gama de dispositivos.
“O uso de servidores em nuvem para operações (de comando e controle) garante comunicação persistente com dispositivos comprometidos, tornando mais difícil para os defensores interromper um ataque”, disseram os pesquisadores de segurança Cara Lin e Vincent Li.