Malware furtivo infectou milhares de sistemas Linux há anos

Outras discussões incluem: Reddit, Estouro de pilha (Espanhol), forobeta (Espanhol), cérebro (Russo), rede nacional (Indonésio), Proxmox (Alemão), Camelo2243 (Chinês), fórum svr (Coreano), exabytes, virtualmin, falha no servidor e muitos outros.

Depois de explorar uma vulnerabilidade ou configuração incorreta, o código de exploração baixa a carga principal de um servidor, que, na maioria dos casos, foi invadido pelo invasor e convertido em um canal para distribuição anônima do malware. Um ataque que teve como alvo o honeypot dos pesquisadores denominado payload httpd. Uma vez executado, o arquivo se copia da memória para um novo local no diretório /temp, executa-o e, em seguida, encerra o processo original e exclui o binário baixado.

Depois de movido para o diretório /tmp, o arquivo é executado com um nome diferente, que imita o nome de um processo conhecido do Linux. O arquivo hospedado no honeypot foi denominado sh. A partir daí, o arquivo estabelece um processo local de comando e controle e tenta obter direitos de sistema raiz explorando CVE-2021-4043, uma vulnerabilidade de escalonamento de privilégios que foi corrigida em 2021 no Gpac, uma estrutura multimídia de código aberto amplamente usada.

O malware continua se copiando da memória para vários outros locais do disco, mais uma vez usando nomes que aparecem como arquivos de rotina do sistema. O malware então descarta um rootkit, uma série de utilitários populares do Linux que foram modificados para servir como rootkits, e o minerador. Em alguns casos, o malware também instala software para “proxy-jacking”, o termo usado para rotear sub-repticiamente o tráfego através da máquina infectada para que a verdadeira origem dos dados não seja revelada.

Os pesquisadores continuaram:

Como parte de sua operação de comando e controle, o malware abre um soquete Unix, cria dois diretórios no diretório /tmp e armazena ali dados que influenciam sua operação. Esses dados incluem eventos de host, locais das cópias de si mesmo, nomes de processos, logs de comunicação, tokens e informações adicionais de log. Além disso, o malware usa variáveis ​​de ambiente para armazenar dados que afetam ainda mais sua execução e comportamento.

Todos os binários são compactados, removidos e criptografados, indicando esforços significativos para contornar mecanismos de defesa e impedir tentativas de engenharia reversa. O malware também usa técnicas avançadas de evasão, como suspender sua atividade ao detectar um novo usuário nos arquivos btmp ou utmp e encerrar qualquer malware concorrente para manter o controle sobre o sistema infectado.

Ao extrapolar dados como o número de servidores Linux conectados à Internet em vários serviços e aplicações, monitorados por serviços como Shodan e Censys, os pesquisadores estimam que o número de máquinas infectadas pelo Perfctl é medido na casa dos milhares. Eles dizem que o conjunto de máquinas vulneráveis ​​– ou seja, aquelas que ainda não instalaram o patch para CVE-2023-33426 ou contêm uma configuração incorreta vulnerável – está na casa dos milhões. Os pesquisadores ainda não mediram a quantidade de criptomoedas que os mineradores maliciosos geraram.

As pessoas que desejam determinar se seu dispositivo foi alvo ou infectado pelo Perfctl devem procurar os indicadores de comprometimento incluídos em Postagem de quinta-feira. Eles também devem estar atentos a picos incomuns no uso da CPU ou lentidão repentina do sistema, principalmente se ocorrerem durante períodos de inatividade. O relatório de quinta-feira também fornece medidas para prevenir infecções em primeiro lugar.

Esta história apareceu originalmente em Ars Técnica.