Los servidores Linux son el objetivo de una campaña en curso que ofrece un malware sigiloso denominado perfecto con el objetivo principal de ejecutar un software de minería de criptomonedas y proxyjacking.
“Perfctl es particularmente esquivo y persistente, y emplea varias técnicas sofisticadas”, afirman los investigadores de seguridad de Aqua Assaf Morag e Idan Revivo. dicho en un informe compartido con The Hacker News.
“Cuando un nuevo usuario inicia sesión en el servidor, inmediatamente detiene todas las actividades ‘ruidosas’ y permanece inactiva hasta que el servidor vuelve a estar inactivo. Después de la ejecución, elimina su binario y continúa ejecutándose silenciosamente en segundo plano como un servicio”.
Vale la pena señalar que algunos aspectos de la campaña fueron revelados el mes pasado por Cado Security, que detalló una campaña que apunta a instancias de Selenium Grid expuestas a Internet con software de minería de criptomonedas y proxyjacking.
Específicamente, se descubrió que el malware perfctl explota una falla de seguridad en Polkit (CVE-2021-4043, también conocido como PwnKit) para escalar privilegios para rootear y eliminar un minero llamado perfcc.
La razón detrás del nombre “perfctl” parece ser un esfuerzo deliberado para evadir la detección y mezclar procesos legítimos del sistema, ya que “perf” se refiere a una herramienta de monitoreo del rendimiento de Linux y “ctl” significa control en varias herramientas de línea de comandos, como systemctl, timedatectl y Rabbitmqctl.
La cadena de ataque, como lo observó la empresa de seguridad en la nube contra sus servidores honeypot, implica violar servidores Linux explotando una instancia vulnerable de Apache RocketMQ para entregar una carga útil llamada “httpd”.
Una vez ejecutado, se copia a sí mismo en una nueva ubicación en el directorio “/tmp”, ejecuta el nuevo binario, finaliza el proceso original y elimina el binario inicial en un intento de cubrir sus huellas.
Además de copiarse a otras ubicaciones y darse nombres aparentemente inofensivos, el malware está diseñado para lanzar un rootkit para evadir la defensa y la carga útil del minero. Algunos casos también implican la recuperación y ejecución de software de proxyjacking desde un servidor remoto.
Para mitigar el riesgo que plantea perfctl, se recomienda mantener los sistemas y todo el software actualizados, restringir la ejecución de archivos, deshabilitar los servicios no utilizados, aplicar la segmentación de la red e implementar el control de acceso basado en roles (RBAC) para limitar el acceso a archivos críticos. .
“Para detectar malware perfctl, se buscan picos inusuales en el uso de la CPU o ralentización del sistema si el rootkit se ha implementado en su servidor”, dijeron los investigadores. “Estos pueden indicar actividades de criptominería, especialmente durante los tiempos de inactividad”.
About the Author
