Malware sconosciuto colpisce i server Redis: cos'è e come funziona

P2Pinfect, il malware di origine sconosciuta che attacca Redis è ancora un mistero per gli esperti di sicurezza.
Marco Ponteprino
Pubblicato il 1 ago 2023
Malware sconosciuto colpisce i server Redis: cos'è e come funziona
piqsels.com

Un gruppo sconosciuto di hacker sta utilizzando un nuovo ceppo di malware per attaccare Redis, un popolare strumento di archiviazione dei dati utilizzato da grandi aziende come Amazon, Hulu e Tinder.

Secondo uno studio effettuato dai ricercatori di Cado Security Labs ciò che rende questo agente malevolo unico nel suo genere è la sua natura “indistinta”. Questo infatti, per certi versi sembra essere un worm, un sottoinsieme di malware che può propagarsi o auto-replicarsi da un computer all’altro senza intervento umano dopo aver violato un sistema.

Gli esperti hanno affermato di aver recentemente individuato il malware, che hanno rinominato come P2Pinfect, e di essere allarmati dalla sua capacità di auto-propagazione nei confronti di server Redis vulnerabili. Cado Security ha affermato che non è chiaro quale sia lo scopo della botnet.

Le prime avvisaglie del malware sono state individuate da Unit 42 di Palo Alto Network lo scorso 19 luglio, con l’individuazione della vulnerabilità CVE-2022-0543, utilizzata per rilevare sessioni Redis vulnerabile e includere le stesse a una botnet.

P2Pinfect: un malware difficile da inquadrare

In precedente, un’azione simile è avvenuta nel 2022 con l’operazione Muhstik. Questa somiglianza però, sembra essere l’unica che accomuna tale attacco a quello di P2Pinfect.

Un’ulteriore analisi di Cado Security ha individuato due differenze salienti tra le due campagne. Nel primo caso, infatti, la falla sfruttata era diversa. Allo stesso tempo P2Pinfect appare efficace sia in ambiente Windows che su Linux.

A rendere quest’ultimo malware ancora più misterioso è il suo fine. Secondo le dichiarazioni di Cado Security a Recorded Future NewsNon è chiaro chi vi sia dietro o il loro obiettivo finale. Un file chiamato “miner” viene estratto da sistemi compromessi, tuttavia non esegue attività di mining di criptovalute” aggiungendo poi come “Questo potrebbe essere un placeholder per un miner di criptovalute pronto per quando l’autore della minaccia vuole attivarlo“.

Ti consigliamo anche

Google Play Protect identifica ora le app che raccolgono dati di nascosto
Mobile

Google Play Protect identifica ora le app che raccolgono dati di nascosto
Patch Tuesday di novembre 2024: risolte 4 vulnerabilità zero-day
Vulnerabilità

Patch Tuesday di novembre 2024: risolte 4 vulnerabilità zero-day
Truffa a nome di Brad Pitt su Facebook: rubati 15 mila euro a una donna italiana
Sicurezza

Truffa a nome di Brad Pitt su Facebook: rubati 15 mila euro a una donna italiana
Malware sfrutta raro linguaggio di programmazione per eludere rilevamento
Vulnerabilità

Malware sfrutta raro linguaggio di programmazione per eludere rilevamento
Link copiato negli appunti