Novo Malware Perfctl Destina Servidores Linux para Mineração de Criptomoedas e Proxyjacking
Servidores Linux mal configurados e vulneráveis são o alvo de uma campanha contínua que oferece um malware furtivo apelidado perfctl com o objetivo principal de executar um minerador de criptomoeda e software de proxyjacking.
“Perfctl é particularmente evasivo e persistente, empregando várias técnicas sofisticadas”, pesquisadores de segurança Aqua Assaf Morag e Idan Revivo disse em um relatório compartilhado com o The Hacker News.
“Quando um novo usuário faz logon no servidor, ele pára imediatamente todas as atividades ‘ruidosas’, ficando inativo até que o servidor esteja ocioso novamente. Após a execução, ele exclui seu binário e continua a ser executado silenciosamente em segundo plano como um serviço.”
Vale a pena notar que alguns aspectos da campanha foram divulgado no mês passado, a Cado Security detalhou uma campanha que tem como alvo instâncias do Selenium Grid expostas à Internet com mineração de criptomoedas e software de proxyjacking.
Especificamente, descobriu-se que o malware perfctl sem arquivo explora uma falha de segurança no Polkit (CVE-2021-4043, também conhecido como PwnKit) para escalar privilégios para fazer root e soltar um minerador chamado perfcc.
A razão por trás do nome “perfctl” parece ser um esforço deliberado para evitar a detecção e se misturar com processos legítimos do sistema, como “perf” refere-se a uma ferramenta de monitoramento de desempenho do Linux e “ctl” é um sufixo comumente usado que significa controle em várias ferramentas de linha de comando, como systemctl, timedatectl e rabbitmqctl.
A cadeia de ataque, como observado pela empresa de segurança em nuvem contra seus servidores honeypot, envolve a violação de servidores Linux, explorando uma instância vulnerável do Apache RocketMQ para fornecer uma carga útil chamada “httpd.”
Uma vez executado, ele se copia para um novo local no diretório “/tmp”, executa o novo binário, encerra o processo original e exclui o binário inicial na tentativa de cobrir suas faixas.
Além de copiar-se para outros locais e dar-se nomes aparentemente inócuos, o malware é projetado para soltar um rootkit para evasão de defesa e a carga útil do minerador. Algumas instâncias também envolvem a recuperação e execução de software de proxyjacking de um servidor remoto.
Para mitigar o risco representado pelo perfctl, recomenda-se manter os sistemas e todo o software atualizados, restringir a execução de arquivos, desativar serviços não utilizados, impor segmentação de rede e implementar o Controle de Acesso Baseado em Funções (RBAC) para limitar o acesso a arquivos críticos.
“Para detectar malware perfctl, você procura picos incomuns no uso da CPU ou desaceleração do sistema se o rootkit tiver sido implantado em seu servidor”, disseram os pesquisadores. “Estes podem indicar atividades de mineração de criptografia, especialmente durante os tempos ociosos.”
Fonte: thehackernews.com
