Campanha de Malware em Servidores Linux: O Caso do Perfctl

Os servidores Linux estão sob ataque de uma campanha que entrega um malware sorrateiro denominado perfctl, cujo objetivo principal é executar um minerador de criptomoedas e um software de proxyjacking.

Características do Malware Perfctl

O perfctl é descrito como um malware particularmente *elusivo e persistente*, utilizando diversas técnicas sofisticadas. Segundo pesquisadores da Aqua Security, Assaf Morag e Idan Revivo, “Quando um novo usuário faz login no servidor, ele imediatamente interrompe todas as atividades ‘barulhentas’, permanecendo inativo até que o servidor esteja ocioso novamente. Após a execução, ele exclui seu binário e continua a operar silenciosamente em segundo plano como um serviço.”

Alguns aspectos dessa campanha foram revelados no mês passado pela Cado Security, que detalhou uma campanha que direciona instâncias expostas do Selenium Grid, implementando tanto mineração de criptomoedas quanto software de proxyjacking.

Exploits e Escalação de Privilégios

O malware perfctl se aproveita de uma vulnerabilidade no Polkit (CVE-2021-4043, também conhecido como PwnKit), permitindo a *escalação de privilégios* para root e a instalação de um minerador chamado perfcc.

Nome e Esquema de Ataque

A escolha do nome “perfctl” parece ser uma tentativa deliberada de evitar a detecção, assimilando-se a processos legítimos do sistema, uma vez que “perf” refere-se a uma ferramenta de monitoramento de desempenho do Linux e “ctl” é uma sigla comum em várias ferramentas de linha de comando, como systemctl, timedatectl e rabbitmqctl.

A cadeia de ataque, conforme observada pela empresa de segurança em nuvem em seus servidores honeypot, envolve a violação de servidores Linux por meio da exploração de uma instância vulnerável do Apache RocketMQ para entregar um payload denominado “httpd.”

Funcionamento e Táticas de Evasão

Uma vez executado, o malware copia-se para um novo local no diretório “/tmp”, executa o novo binário, finaliza o processo original e exclui o binário inicial como forma de *encobrir suas trilhas*. Além disso, o malware possui a capacidade de criar cópias de si mesmo em outros locais e atribuir nomes aparentemente *inocentes*.

O perfctl também é projetado para instalar um rootkit para evasão de defesa e o payload de mineração. Em algumas instâncias, o processo envolve a recuperação e execução de software de proxyjacking de um servidor remoto.

Mitigação do Risco e Detecção

Para mitigar os riscos impostos pelo perfctl, recomenda-se:

• Manter os sistemas e todo o software atualizados;
• Restringir a execução de arquivos;
• Desativar serviços não utilizados;
• Implementar *segmentação de rede*;
• Aplicar Controle de Acesso Baseado em Papéis (RBAC) para limitar o acesso a arquivos críticos.

“Para detectar o malware perfctl, deve-se observar picos incomuns no uso da CPU ou uma desaceleração do sistema, se o rootkit tiver sido implantado em seu servidor,” afirmaram os pesquisadores. “Essas condições podem indicar atividades de mineração, especialmente durante períodos ociosos.”

#Malware #SegurançaDaInformação #Linux #Criptomoedas #Cibersegurança
The Hacker News
https://thehackernews.com/2024/10/new-perfctl-malware-targets-linux.html