Chez Cado Security Labs, des chercheurs en cybersécurité ont identifié une nouvelle variante du botnet P2PInfect. Cette version accroît le risque en ciblant spécifiquement les appareils IoT.
Toujours d'après les chercheurs de Cado Security, la dernière version de P2PInfect, conçue pour l'architecture MIPS (Microprocessor without Interlocked Pipelined Stages), représente une expansion des fonctionnalités du malware, ouvrant potentiellement la porte à des infections à grande échelle. Ce qui a pour impact de créer un potentiel d'infections généralisées.
Le malware P2PInfect cible les dispositifs IoT avec une prédilection pour les vulnérabilités MIPS
Le chercheur en sécurité Matt Muir a mis en lumière l'importance de concentrer les efforts sur la détection des vulnérabilités liées à MIPS. Il a suggéré que les développeurs de P2PInfect semblent délibérément s'acharner à compromettre les routeurs et les dispositifs IoT.
Découvert initialement en juillet 2023, le malware P2PInfect, conçu en Rust, est devenu célèbre pour son exploitation d'une vulnérabilité critique d'évasion du bac à sable Lua (CVE-2022-0543, score CVSS : 10,0). Cette faille permet au malware de pénétrer les instances non corrigées de Redis.
De nouveaux logiciels malveillants ciblent désormais les appareils équipés de processeurs MIPS 32 bits. Ils mènent des attaques par force brute contre le protocole SSH. Pour rester indétectables, ils utilisent des techniques de dissimulation et d'anti-analyse à jour.
P2PInfect : le malware sophistiqué qui frappe en silence
Ces tentatives de piratage testent en boucle des identifiants SSH courants. Les pirates intègrent ces dizaines de milliers de paires nom d'utilisateur/mot de passe dans le code binaire lui-même. Les serveurs SSH et Redis, quant à eux, semblent être les portes d'entrée de ce nouveau virus. En effet, Redis tourne sur les MIPS grâce au logiciel OpenWrt.
Véritable fléau, ce malware use de subterfuges pour échapper aux analyses. Il s'auto-désactive quand on l'examine. Par conséquent, il peut neutraliser les core dumps sous Linux, ces fichiers de crash du noyau.
La version MIPS embarque même un module DLL Windows 64 bits. Celui-ci permet d'exécuter des commandes shell sur les systèmes infectés. Et ce, en détournant le logiciel Redis.
Selon Cado Security, ces évolutions inquiètent. Car le ver P2PInfect frappe plus large, et use de Rust. Ce langage autorise le développement multiplateformes. Pour l'éditeur de sécurité, un tel raffinement dénote un cybercriminel expérimenté.
- Partager l'article :
