Servidores Linux mal configurados e vulneráveis estão sendo alvo de uma campanha contínua que distribui um malware furtivo, denominado "perfctl". O principal objetivo do malware é executar um minerador de criptomoedas e um software de proxyjacking.
“O perfctl é altamente evasivo e persistente, empregando diversas técnicas sofisticadas”, explicaram os pesquisadores de segurança da Aqua, Assaf Morag e Idan Revivo.
Uma característica marcante do malware é sua capacidade de permanecer oculto. Quando um novo usuário faz login no servidor, ele imediatamente interrompe todas as atividades visíveis, ficando inativo até que o sistema esteja ocioso novamente. Após ser executado, o malware apaga seu binário original e continua rodando silenciosamente em segundo plano como um serviço.
No mês passado, a Cado Security divulgou detalhes de uma parte dessa campanha, revelando um cluster de atividades que visam instâncias do Selenium Grid expostas à Internet, com o propósito de mineração de criptomoedas e proxyjacking.
O perfctl, sem a necessidade de arquivos físicos, explora uma vulnerabilidade no Polkit (CVE-2021-4043, conhecida como PwnKit) para escalar privilégios de root e iniciar um minerador de criptomoedas chamado "perfcc". O nome "perfctl" parece ser uma tentativa deliberada de mascarar suas atividades, fazendo-se passar por um processo legítimo, uma vez que "perf" é uma ferramenta de monitoramento de desempenho do Linux, e "ctl" é um sufixo comum em várias ferramentas de linha de comando.
De acordo com a empresa de segurança em nuvem, a cadeia de ataque observada contra seus servidores honeypot envolve a exploração de uma instância vulnerável do Apache RocketMQ, usada para entregar uma carga maliciosa chamada "httpd". Uma vez executada, a carga se copia para o diretório "/tmp", executa um novo binário, encerra o processo original e apaga o binário inicial para encobrir suas atividades.
Além de replicar-se em outros locais com nomes aparentemente inofensivos, o malware é projetado para implantar um rootkit que ajuda a evadir defesas e executar o minerador. Em algumas instâncias, o malware também recupera e executa software de proxyjacking de um servidor remoto.
Para mitigar os riscos do perfctl, recomenda-se manter o sistema e softwares atualizados, restringir a execução de arquivos, desativar serviços desnecessários, reforçar a segmentação de rede e implementar o RBAC (Controle de Acesso Baseado em Função) para limitar o acesso a arquivos críticos.
“Para detectar o malware perfctl, fique atento a picos anormais no uso de CPU ou lentidão do sistema, especialmente se um rootkit estiver presente no servidor”, alertaram os pesquisadores. “Esses sinais podem indicar atividades de mineração de criptomoedas, particularmente durante períodos de inatividade do servidor.”
Via - THN
Commentaires