Un gruppo sconosciuto di hacker sta utilizzando un nuovo ceppo di malware per attaccare Redis, un popolare strumento di archiviazione dei dati utilizzato da grandi aziende come Amazon, Hulu e Tinder.
Secondo uno studio effettuato dai ricercatori di Cado Security Labs ciò che rende questo agente malevolo unico nel suo genere è la sua natura “indistinta”. Questo infatti, per certi versi sembra essere un worm, un sottoinsieme di malware che può propagarsi o auto-replicarsi da un computer all’altro senza intervento umano dopo aver violato un sistema.
Gli esperti hanno affermato di aver recentemente individuato il malware, che hanno rinominato come P2Pinfect, e di essere allarmati dalla sua capacità di auto-propagazione nei confronti di server Redis vulnerabili. Cado Security ha affermato che non è chiaro quale sia lo scopo della botnet.
Le prime avvisaglie del malware sono state individuate da Unit 42 di Palo Alto Network lo scorso 19 luglio, con l’individuazione della vulnerabilità CVE-2022-0543, utilizzata per rilevare sessioni Redis vulnerabile e includere le stesse a una botnet.
P2Pinfect: un malware difficile da inquadrare
In precedente, un’azione simile è avvenuta nel 2022 con l’operazione Muhstik. Questa somiglianza però, sembra essere l’unica che accomuna tale attacco a quello di P2Pinfect.
Un’ulteriore analisi di Cado Security ha individuato due differenze salienti tra le due campagne. Nel primo caso, infatti, la falla sfruttata era diversa. Allo stesso tempo P2Pinfect appare efficace sia in ambiente Windows che su Linux.
A rendere quest’ultimo malware ancora più misterioso è il suo fine. Secondo le dichiarazioni di Cado Security a Recorded Future News “Non è chiaro chi vi sia dietro o il loro obiettivo finale. Un file chiamato “miner” viene estratto da sistemi compromessi, tuttavia non esegue attività di mining di criptovalute” aggiungendo poi come “Questo potrebbe essere un placeholder per un miner di criptovalute pronto per quando l’autore della minaccia vuole attivarlo“.