Novo Malware Perfctl Destina Servidores Linux para Mineração de Criptomoedas e Proxyjacking

Sticky 04/10/2024

Servidores Linux mal configurados e vulneráveis são o alvo de uma campanha contínua que oferece um malware furtivo apelidado perfctl com o objetivo principal de executar um minerador de criptomoeda e software de proxyjacking.

“Perfctl é particularmente evasivo e persistente, empregando várias técnicas sofisticadas”, pesquisadores de segurança Aqua Assaf Morag e Idan Revivo disse em um relatório compartilhado com o The Hacker News.

“Quando um novo usuário faz logon no servidor, ele pára imediatamente todas as atividades ‘ruidosas’, ficando inativo até que o servidor esteja ocioso novamente. Após a execução, ele exclui seu binário e continua a ser executado silenciosamente em segundo plano como um serviço.”

Vale a pena notar que alguns aspectos da campanha foram divulgado no mês passado, a Cado Security detalhou uma campanha que tem como alvo instâncias do Selenium Grid expostas à Internet com mineração de criptomoedas e software de proxyjacking.

Especificamente, descobriu-se que o malware perfctl sem arquivo explora uma falha de segurança no Polkit (CVE-2021-4043, também conhecido como PwnKit) para escalar privilégios para fazer root e soltar um minerador chamado perfcc.

A razão por trás do nome “perfctl” parece ser um esforço deliberado para evitar a detecção e se misturar com processos legítimos do sistema, como “perf” refere-se a uma ferramenta de monitoramento de desempenho do Linux e “ctl” é um sufixo comumente usado que significa controle em várias ferramentas de linha de comando, como systemctl, timedatectl e rabbitmqctl.

A cadeia de ataque, como observado pela empresa de segurança em nuvem contra seus servidores honeypot, envolve a violação de servidores Linux, explorando uma instância vulnerável do Apache RocketMQ para fornecer uma carga útil chamada “httpd.”

Uma vez executado, ele se copia para um novo local no diretório “/tmp”, executa o novo binário, encerra o processo original e exclui o binário inicial na tentativa de cobrir suas faixas.

Além de copiar-se para outros locais e dar-se nomes aparentemente inócuos, o malware é projetado para soltar um rootkit para evasão de defesa e a carga útil do minerador. Algumas instâncias também envolvem a recuperação e execução de software de proxyjacking de um servidor remoto.

Para mitigar o risco representado pelo perfctl, recomenda-se manter os sistemas e todo o software atualizados, restringir a execução de arquivos, desativar serviços não utilizados, impor segmentação de rede e implementar o Controle de Acesso Baseado em Funções (RBAC) para limitar o acesso a arquivos críticos.

“Para detectar malware perfctl, você procura picos incomuns no uso da CPU ou desaceleração do sistema se o rootkit tiver sido implantado em seu servidor”, disseram os pesquisadores. “Estes podem indicar atividades de mineração de criptografia, especialmente durante os tempos ociosos.”

Fonte: thehackernews.com

Administrador Sistema

A Host Curitiba é uma empresa fundada em Fevereiro de 2004 iniciando suas atividades em rede em 31/07/2008 e especializada em segurança Web e Servidores Empresariais.

DataCenter:
Av. São Paulo, 1223. João Pessoa, Paraíba - Brasil CEP: 58.030-040
Registro CNPJ: 09.452.853/0001-39

Provedor?
Rua: Clávio Molinari, 1298 Capão da Imbuia - Curitiba Paraná CE: 82810210
Registro: 20.962.496/0001-91

Central de Atendimento ao Cliente:
Atendimento (41) 9 9555-8123
Suporte técnico (11) 9 3333-6326

https://www.hostcuritiba.com.br | https://www.hostcuritiba.net.br
contato@hostcuritiba.net.br - suporte@hostcuritiba.net.br - abuse@hostcuritiba.net.br