Pesquisadores da Aqua Security identificaram um malware chamado "perfctl" que tem infectado servidores Linux nos últimos três a quatro anos, praticamente sem ser detectado. O objetivo principal do perfctl é minerar criptomoedas e realizar ataques de proxyjacking, onde a largura de banda dos servidores comprometidos é utilizada em esquemas de proxy sem o consentimento dos proprietários. A infecção se espalha por milhões de servidores, explorando configurações inadequadas e falhas de segurança, além de expor credenciais e interfaces administrativas vulneráveis.
Linux foi infectado por malware - Figura gerada por algoritmo de inteligência artificial.
O perfctl opera com um alto nível de sofisticação, apresentando várias camadas em seus ataques. Entre essas camadas, estão um dropper para instalar outros componentes, um rootkit que esconde suas atividades e um backdoor que permite o controle remoto do servidor pelos invasores. Sua principal função é roubar recursos computacionais para a mineração da criptomoeda Monero. Apesar de usuários em fóruns comunitários já terem relatado servidores comprometidos por esse malware, a verdadeira extensão da ameaça só foi completamente desvendada recentemente pelos especialistas.
Os invasores exploram vulnerabilidades conhecidas em softwares amplamente utilizados, como o Apache RocketMQ. O malware se infiltra nos sistemas por meio de falhas como a CVE-2023-33246, acessando arquivos de configuração mal protegidos. Uma vez instalado no servidor, ele utiliza scripts de shell para analisar o ambiente e preparar a execução das cargas maliciosas. Suas operações são disfarçadas de maneira eficiente para evitar a detecção, até mesmo eliminando rastros do binário original.
Um dos métodos mais eficazes do perfctl é a exploração de vulnerabilidades de escalonamento de privilégios no pacote Polkit do Linux, que concede aos invasores acesso total ao sistema. O malware também se oculta modificando utilitários como top, ldd e crontab, dificultando a detecção por administradores e ferramentas de segurança e complicando a análise forense.
O estudo da Aqua Security revela ainda que, além de minerar criptomoedas, o perfctl facilita ataques de proxyjacking, permitindo que os invasores comercializem a largura de banda das máquinas infectadas através de redes proxy. O relatório inclui indicadores de comprometimento e orientações para detecção, sugerindo monitoramento de comportamento e verificação de integridade de arquivos como uma estratégia para combater essa ameaça furtiva.
O artigo "Malware infectou milhões de servidores Linux" foi escrito pela Redação no site Ciso Advisor.
Disponível em: https://www.cisoadvisor.com.br/malware-infectou-milhoes-de-servidores-linux/
