P2PInfect: in 7 giorni aumentata di 600 volte l'attività del malware

Cado Security ha lanciato l’allarme: il worm peer-to-peer noto come P2PInfect ha registrato un aumento notevole di attività dalla fine di agosto 2023 con un trend in crescendo. I ricercatori, infatti, hanno segnalato un incremento di casi di 600 volte solo tra il 12 e il 19 settembre.

Il ricercatore Matt Muir, in un rapporto pubblicato giusto un paio di giorni fa, ha affermato come “Questo aumento del traffico P2PInfect ha coinciso con un numero crescente di varianti osservate in circolazione, suggerendo che gli sviluppatori del malware stanno operando a una cadenza di sviluppo estremamente elevata“.

I casi finora registrati hanno interessato diversi paesi come Cina, Stati Uniti, Germania, Regno Unito, Singapore, Hong Kong e Giappone.

P2PInfect è un agente malevolo relativamente giovane, essendo stato scoperto nel luglio 2023. Gran parte della sua fama è dovuta alla facilità con cui esso è in grado di violare istanze Redis scarsamente protette.

Nel corso dei mesi, però, P2PInfect non ha smesso di evolvere, con i cybercriminali sempre impegnati a cercare nuovi e temibili approcci per diffondere il malware.

P2PInfect è un malware in continua mutazione che mette in grande difficoltà gli esperti di cybersicurezza

Stando a quanto riportato da Cado Security, gli ultimi attacchi fanno leva sul comando Redis SLAVEOF, che viene inviato da un nodo controllato dall’attore a un target per abilitare la replica.

Successivamente viene inviato un modulo Redis dannoso alla destinazione, che, a sua volta, esegue un comando per recuperare e avviare il payload principale, dopodiché viene eseguito un altro comando shell per rimuovere il modulo Redis dal disco e disabilitare la replica.

Un altro espediente legato alle recenti campagne P2PInfect riguarda lo sfruttamento di un meccanismo di persistenza che sfrutta un processo cron per avviare il malware ogni 30 minuti.

Di fatto, la situazione risulta preoccupante. Il consiglio degli esperti a tal proposito, resta quello di mantenere i server aggiornati e di seguire le più comuni abitudini per mantenere gli stessi quanto più possibile sicuri.