Linux foi infectado por malware - Figura gerada por algoritmo de inteligência artificial.

Pesquisadores da Aqua Security identificaram um malware chamado "perfctl" que tem infectado servidores Linux nos últimos três a quatro anos, praticamente sem ser detectado. O objetivo principal do perfctl é minerar criptomoedas e realizar ataques de proxyjacking, onde a largura de banda dos servidores comprometidos é utilizada em esquemas de proxy sem o consentimento dos proprietários. A infecção se espalha por milhões de servidores, explorando configurações inadequadas e falhas de segurança, além de expor credenciais e interfaces administrativas vulneráveis.

O perfctl opera com um alto nível de sofisticação, apresentando várias camadas em seus ataques. Entre essas camadas, estão um dropper para instalar outros componentes, um rootkit que esconde suas atividades e um backdoor que permite o controle remoto do servidor pelos invasores. Sua principal função é roubar recursos computacionais para a mineração da criptomoeda Monero. Apesar de usuários em fóruns comunitários já terem relatado servidores comprometidos por esse malware, a verdadeira extensão da ameaça só foi completamente desvendada recentemente pelos especialistas.

Os invasores exploram vulnerabilidades conhecidas em softwares amplamente utilizados, como o Apache RocketMQ. O malware se infiltra nos sistemas por meio de falhas como a CVE-2023-33246, acessando arquivos de configuração mal protegidos. Uma vez instalado no servidor, ele utiliza scripts de shell para analisar o ambiente e preparar a execução das cargas maliciosas. Suas operações são disfarçadas de maneira eficiente para evitar a detecção, até mesmo eliminando rastros do binário original.

Um dos métodos mais eficazes do perfctl é a exploração de vulnerabilidades de escalonamento de privilégios no pacote Polkit do Linux, que concede aos invasores acesso total ao sistema. O malware também se oculta modificando utilitários como top, ldd e crontab, dificultando a detecção por administradores e ferramentas de segurança e complicando a análise forense.

O estudo da Aqua Security revela ainda que, além de minerar criptomoedas, o perfctl facilita ataques de proxyjacking, permitindo que os invasores comercializem a largura de banda das máquinas infectadas através de redes proxy. O relatório inclui indicadores de comprometimento e orientações para detecção, sugerindo monitoramento de comportamento e verificação de integridade de arquivos como uma estratégia para combater essa ameaça furtiva.

O artigo "Malware infectou milhões de servidores Linux" foi escrito pela Redação no site Ciso Advisor.

Disponível em: https://www.cisoadvisor.com.br/malware-infectou-milhoes-de-servidores-linux/

Golpes Digitais
6 de dez. de 2024
Boas Práticas
26 de nov. de 2024
Boas Práticas
19 de nov. de 2024
Segurança da Informação
12 de nov. de 2024
Boas Práticas
5 de nov. de 2024
Segurança da Informação
31 de out. de 2024
Segurança da Informação
29 de out. de 2024
Golpes Digitais
17 de out. de 2024
Ataques Hackers
15 de out. de 2024
Segurança da Informação
10 de out. de 2024