El nuevo malware Perfctl se dirige a servidores Linux para secuestrar proxy y minar criptomonedas

Los servidores Linux están siendo el blanco de una campaña activa que distribuye un malware furtivo llamado perfctl, cuyo objetivo principal es ejecutar un software de minería de criptomonedas y proxyjacking.

«Perfctl es especialmente difícil de detectar y persistente, utilizando varias técnicas avanzadas», explicaron los investigadores de seguridad de Aqua, Assaf Morag e Idan Revivo, en un informe.

«Cuando un nuevo usuario accede al servidor, detiene de inmediato todas las actividades ‘ruidosas’, quedando inactivo hasta que el servidor vuelve a estar desocupado. Tras su ejecución, borra su archivo binario y continúa funcionando de forma silenciosa en segundo plano como un servicio».

Cabe destacar que algunos elementos de esta campaña fueron revelados el mes pasado por Cado Security, que describió un ataque dirigido a instancias de Selenium Grid expuestas a internet, utilizando software tanto para minería de criptomonedas como proxyjacking.

El malware perfctl explota una vulnerabilidad de Polkit (CVE-2021-4043, también conocida como PwnKit) para elevar sus privilegios a nivel root y desplegar un minero llamado perfcc.

El nombre «perfctl» parece ser un intento deliberado de evitar la detección y pasar desapercibido entre los procesos del sistema, ya que «perf» hace referencia a una herramienta de monitoreo de rendimiento en Linux, y «ctl» indica control en diversas herramientas de línea de comandos como systemctl, timedatectl y rabbitmqctl.

La cadena de ataque, observada por la empresa de seguridad en la nube en sus servidores honeypot, implica la explotación de una instancia vulnerable de Apache RocketMQ en servidores Linux para entregar un archivo malicioso llamado «httpd».

Una vez ejecutado, se copia en una nueva ubicación en el directorio «/tmp», ejecuta el nuevo binario, finaliza el proceso original y elimina el binario inicial, todo con el objetivo de ocultar su presencia.

Además de replicarse en otros directorios con nombres aparentemente inofensivos, el malware está diseñado para desplegar un rootkit que le permite evadir mecanismos de defensa, así como la carga útil del minero. En algunos casos, también descarga y ejecuta software de proxyjacking desde un servidor remoto.

Para reducir el riesgo que presenta perfctl, se recomienda mantener los sistemas y software actualizados, restringir la ejecución de archivos, desactivar servicios no utilizados, segmentar la red y utilizar Control de Acceso Basado en Roles (RBAC) para limitar el acceso a archivos sensibles.

«Para detectar el malware perfctl, se deben observar picos inusuales en el uso del CPU o una disminución en el rendimiento del sistema si se ha instalado un rootkit. Esto puede ser indicativo de actividades de minería de criptomonedas, especialmente durante los momentos en que el sistema está inactivo», señalaron los investigadores.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *