Se ha descubierto un sofisticado y esquivo malware conocido como 'Perfctl' que apunta a millones de servidores Linux en todo el mundo.
Los investigadores de Aqua Nautilus arrojan luz sobre este malware, que ha estado explotando activamente más de 20.000 configuraciones erróneas en servidores Linux durante los últimos tres o cuatro años.
El malware Perfctl es particularmente persistente y emplea varias técnicas avanzadas para evadir la detección y mantener el control sobre los sistemas infectados.
Utiliza un rootkit para ocultar su presencia, detiene toda actividad “ruidosa” cuando un nuevo usuario inicia sesión en el servidor y se comunica internamente mediante sockets Unix y externamente a través de TOR.
Analice enlaces sospechosos utilizando la nueva herramienta de navegación segura de ANY.RUN: pruébela gratis
Principales características del malware Perfctl
Técnica alternativa: Perfctl elimina el binario después de la ejecución y continúa ejecutándose silenciosamente en segundo plano como un servicio. Se copia a sí mismo desde la memoria a varias ubicaciones del disco utilizando un nombre falso para integrarse en los procesos comunes del sistema. Mecanismo de persistencia: el malware modifica el script ~/.profile para garantizar que se ejecute cuando el usuario inicie sesión y para mantener el control del sistema eliminando el malware de la competencia. Explotación: Perfctl intenta escalar privilegios explotando una vulnerabilidad en Polkit (CVE-2021-4043). Criptominería: el principal impacto de este ataque es el secuestro de recursos, donde el malware ejecuta el criptominero Monero (XMRIG) para agotar los recursos de la CPU del servidor. Jacking de proxy: en algunos casos, se utiliza malware para ejecutar software de jacking de proxy, que permite a los atacantes ganar dinero compartiendo ancho de banda de Internet no utilizado. flujo de ataque
Para detectar el malware Perfctl, debe buscar picos inusuales en el uso de la CPU, ralentizaciones del sistema y archivos binarios sospechosos en los directorios /tmp, /usr y /root.
El informe también afirma que es importante monitorear el tráfico de la red para las comunicaciones basadas en TOR y las conexiones salientes a grupos de criptominería y servicios de proxy jacking.
Las estrategias de mitigación incluyen parchear vulnerabilidades, restringir la ejecución de archivos en directorios grabables, deshabilitar servicios no utilizados, implementar una gestión estricta de permisos y herramientas de protección en tiempo de ejecución que puedan detectar rootkits y malware sin archivos.
Dada la magnitud del ataque, se estima que millones de servidores Linux podrían estar en riesgo y es posible que miles ya se hayan visto comprometidos.
La capacidad de este malware para atacar una amplia gama de configuraciones erróneas lo convierte en una amenaza importante para los servidores Linux con acceso a Internet.
El malware Perfctl es una amenaza importante para los servidores Linux en todo el mundo, lo que destaca la necesidad de medidas de seguridad sólidas y una supervisión cuidadosa.
Los usuarios pueden protegerse de esta amenaza elusiva y persistente comprendiendo sus tácticas y tomando medidas proactivas para proteger sus sistemas.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Seminario web gratuito
