{"id":1386990,"date":"2024-10-03T15:24:31","date_gmt":"2024-10-03T15:24:31","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-nuevo-malware-perfctl-se-dirige-a-servidores-linux-para-mineria-de-criptomonedas-y-proxyjacking\/"},"modified":"2024-10-03T15:24:36","modified_gmt":"2024-10-03T15:24:36","slug":"el-nuevo-malware-perfctl-se-dirige-a-servidores-linux-para-mineria-de-criptomonedas-y-proxyjacking","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-nuevo-malware-perfctl-se-dirige-a-servidores-linux-para-mineria-de-criptomonedas-y-proxyjacking\/","title":{"rendered":"El nuevo malware Perfctl se dirige a servidores Linux para miner\u00eda de criptomonedas y proxyjacking"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>03 de octubre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Linux\/malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los servidores Linux son el objetivo de una campa\u00f1a en curso que ofrece un malware sigiloso denominado perfecto<\/strong> con el objetivo principal de ejecutar un software de miner\u00eda de criptomonedas y proxyjacking.<\/p>\n

“Perfctl es particularmente esquivo y persistente, y emplea varias t\u00e9cnicas sofisticadas”, afirman los investigadores de seguridad de Aqua Assaf Morag e Idan Revivo. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n

“Cuando un nuevo usuario inicia sesi\u00f3n en el servidor, inmediatamente detiene todas las actividades ‘ruidosas’ y permanece inactiva hasta que el servidor vuelve a estar inactivo. Despu\u00e9s de la ejecuci\u00f3n, elimina su binario y contin\u00faa ejecut\u00e1ndose silenciosamente en segundo plano como un servicio”.<\/p>\n

Vale la pena se\u00f1alar que algunos aspectos de la campa\u00f1a fueron revelados el mes pasado por Cado Security, que detall\u00f3 una campa\u00f1a que apunta a instancias de Selenium Grid expuestas a Internet con software de miner\u00eda de criptomonedas y proxyjacking.<\/p>\n

Espec\u00edficamente, se descubri\u00f3 que el malware perfctl explota una falla de seguridad en Polkit (CVE-2021-4043, tambi\u00e9n conocido como PwnKit) para escalar privilegios para rootear y eliminar un minero llamado perfcc.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

La raz\u00f3n detr\u00e1s del nombre “perfctl” parece ser un esfuerzo deliberado para evadir la detecci\u00f3n y mezclar procesos leg\u00edtimos del sistema, ya que “perf” se refiere a una herramienta de monitoreo del rendimiento de Linux y “ctl” significa control en varias herramientas de l\u00ednea de comandos, como systemctl, timedatectl y Rabbitmqctl.<\/p>\n

La cadena de ataque, como lo observ\u00f3 la empresa de seguridad en la nube contra sus servidores honeypot, implica violar servidores Linux explotando una instancia vulnerable de Apache RocketMQ para entregar una carga \u00fatil llamada “httpd”.<\/p>\n

\"Miner\u00eda<\/a><\/div>\n

Una vez ejecutado, se copia a s\u00ed mismo en una nueva ubicaci\u00f3n en el directorio “\/tmp”, ejecuta el nuevo binario, finaliza el proceso original y elimina el binario inicial en un intento de cubrir sus huellas.<\/p>\n

Adem\u00e1s de copiarse a otras ubicaciones y darse nombres aparentemente inofensivos, el malware est\u00e1 dise\u00f1ado para lanzar un rootkit para evadir la defensa y la carga \u00fatil del minero. Algunos casos tambi\u00e9n implican la recuperaci\u00f3n y ejecuci\u00f3n de software de proxyjacking desde un servidor remoto.<\/p>\n

Para mitigar el riesgo que plantea perfctl, se recomienda mantener los sistemas y todo el software actualizados, restringir la ejecuci\u00f3n de archivos, deshabilitar los servicios no utilizados, aplicar la segmentaci\u00f3n de la red e implementar el control de acceso basado en roles (RBAC) para limitar el acceso a archivos cr\u00edticos. .<\/p>\n

“Para detectar malware perfctl, se buscan picos inusuales en el uso de la CPU o ralentizaci\u00f3n del sistema si el rootkit se ha implementado en su servidor”, dijeron los investigadores. “Estos pueden indicar actividades de criptominer\u00eda, especialmente durante los tiempos de inactividad”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n