Preventivo sconto multi-licenza
Database delle minacce Malware Perfctl Ransomware

Perfctl Ransomware

Entro Mezo nel Malware
Traduci in:
Italiano

Un ceppo di software minaccioso ha infettato migliaia di sistemi basati su Linux. Si distingue per il suo approccio stealth, l'ampia gamma di configurazioni errate che può sfruttare e l'ampia gamma di azioni dannose che può eseguire.

Rilevata per la prima volta nel 2021, questa minaccia sfrutta oltre 20.000 configurazioni errate comunemente riscontrate per infiltrarsi nei sistemi, rappresentando un rischio per milioni di dispositivi connessi a Internet. Inoltre, sfrutta CVE-2023-33426, una vulnerabilità critica con un punteggio di gravità massimo di 10 che è stata corretta l'anno scorso in Apache RocketMQ, una piattaforma di messaggistica e streaming ampiamente utilizzata sui sistemi Linux.

Il malware Perfctl è dotato di una vasta gamma di capacità malevole

Perfctl deriva il suo nome da un componente dannoso che estrae segretamente criptovaluta. Gli sviluppatori, le cui identità rimangono sconosciute, hanno combinato il nome dello strumento di monitoraggio delle prestazioni di Linux "perf" con "ctl", un'abbreviazione comune nelle utility della riga di comando. Una caratteristica degna di nota di Perfctl è l'uso di nomi di processo e file che assomigliano molto a quelli che si trovano tipicamente negli ambienti Linux, consentendogli di eludere il rilevamento da parte degli utenti interessati.

Per nascondere ulteriormente la sua presenza, Perfctl impiega varie tattiche stealth. Tra queste c'è l'installazione di molti componenti come rootkit, una categoria specifica di malware progettata per nascondersi dal sistema operativo e dagli strumenti amministrativi. Ulteriori strategie di evasione includono:

  • Interruzione delle attività facilmente rilevabili al momento dell'accesso di nuovi utenti
  • Utilizzo di un socket Unix su TOR per la comunicazione esterna
  • Eliminazione del binario di installazione dopo l'esecuzione e successiva esecuzione come servizio in background
  • Manipolazione del processo Linux pcap_loop utilizzando una tecnica nota come hooking per impedire agli strumenti amministrativi di registrare traffico dannoso
  • Soppressione degli errori mesg per evitare avvisi visibili durante l'esecuzione.

Perfctl è progettato per la persistenza, consentendogli di rimanere sulle macchine infette anche dopo i riavvii o i tentativi di eliminare i componenti principali. Ciò avviene tramite tecniche come la modifica dello script ~/.profile, che inizializza l'ambiente durante l'accesso dell'utente, consentendo al malware di caricarsi prima dei processi legittimi del server. Si copia anche in più posizioni del disco dalla memoria. L'aggancio di pcap_loop migliora ulteriormente la persistenza consentendo alle attività non sicure di continuare anche dopo che i payload primari sono stati rilevati e rimossi.

Oltre a utilizzare le risorse di sistema per estrarre criptovaluta, Perfctl trasforma la macchina infetta in un proxy che genera profitti, consentendo ai clienti paganti di inoltrare il loro traffico Internet. I ricercatori di sicurezza informatica hanno anche notato che il malware funziona come backdoor per l'installazione di altre famiglie di malware.

Flusso di attacco dell’infezione da malware Perfctl

Dopo aver sfruttato una vulnerabilità o una configurazione errata, il codice exploit scarica il payload primario da un server compromesso, che è stato trasformato in un canale di distribuzione anonimo per il malware. Nell'attacco esaminato, il payload era denominato httpd. Al momento dell'esecuzione, il file si replica dalla memoria a una nuova posizione nella directory /temp, esegue la versione copiata, termina il processo originale ed elimina il binario scaricato.

Una volta trasferito nella directory /tmp, il file viene eseguito con un nome diverso che imita un processo Linux noto, in questo caso denominato specificatamente sh. Successivamente, stabilisce un processo Command-and-Control (C2) locale. Cerca di ottenere privilegi di root system sfruttando CVE-2021-4043, una vulnerabilità di escalation dei privilegi che è stata corretta nel 2021 all'interno di Gpac, un popolare framework multimediale open source.

Il malware quindi si copia dalla memoria in diverse altre posizioni del disco, ancora una volta utilizzando nomi che assomigliano a file di sistema di routine. Inoltre, distribuisce un rootkit insieme a una serie di utility Linux comunemente utilizzate che sono state modificate per funzionare come rootkit, insieme al componente di mining. In alcuni casi, il malware installa software per "proxy-jacking", che si riferisce al routing nascosto del traffico attraverso la macchina infetta, nascondendo la vera origine dei dati.

Come parte delle sue operazioni C2, il malware apre un socket Unix, crea due directory all'interno della directory /tmp e vi memorizza i dati operativi. Questi dati includono eventi host, le posizioni delle sue copie, nomi di processo, registri di comunicazione, token e informazioni di registro aggiuntive. Inoltre, utilizza variabili di ambiente per memorizzare dati che influenzano la sua esecuzione e il suo comportamento.

Tutti i file binari sono impacchettati, spogliati e crittografati, dimostrando un solido impegno nell'elusione delle misure di sicurezza e complicando gli sforzi di reverse engineering. Il malware impiega tattiche di elusione avanzate, come la sospensione delle sue attività quando rileva un nuovo utente nei file btmp o utmp e la terminazione di qualsiasi malware concorrente per mantenere il predominio sul sistema infetto.

Perfctl mette a rischio decine di migliaia di dispositivi

Analizzando i dati sul numero di server Linux connessi a Internet attraverso vari servizi e applicazioni, i ricercatori stimano che migliaia di macchine siano infette da Perfctl. Le loro scoperte indicano che il pool di macchine vulnerabili, quelle che non hanno ancora applicato la patch per CVE-2023-33426 o hanno configurazioni errate, ammonta a milioni. Tuttavia, i ricercatori non hanno ancora valutato la quantità totale di criptovaluta generata dai minatori dannosi.

Per verificare se il loro dispositivo è stato preso di mira o infettato da Perfctl, gli utenti dovrebbero cercare gli indicatori di compromissione identificati. Inoltre, dovrebbero essere vigili per picchi insoliti nell'utilizzo della CPU o rallentamenti inaspettati del sistema, specialmente durante i periodi di inattività.

Tendenza

I più visti

Caricamento in corso...