Perfctl Malware
Um software ameaçador infectou milhares de sistemas baseados em Linux. Ele se destaca por sua abordagem furtiva, a ampla gama de configurações incorretas que pode explorar e a ampla gama de ações prejudiciais que pode realizar.
Detectada pela primeira vez em 2021, essa ameaça aproveita mais de 20.000 configurações incorretas comumente encontradas para se infiltrar em sistemas, representando um risco para milhões de dispositivos conectados à Internet. Além disso, ela aproveita o CVE-2023-33426, uma vulnerabilidade crítica com uma pontuação máxima de gravidade de 10 que foi corrigida no ano passado no Apache RocketMQ, uma plataforma de mensagens e streaming amplamente usada em sistemas Linux.
Índice
O Perfctl Malware é Equipado com uma Vasta Gama de Capacidades Malévolas
O Perfctl deriva seu nome de um componente malicioso que secretamente minera criptomoedas. Os desenvolvedores, cujas identidades permanecem desconhecidas, combinaram o nome da ferramenta de monitoramento de desempenho do Linux 'perf' com 'ctl', uma abreviação comum em utilitários de linha de comando. Um recurso notável do Perfctl é o uso de nomes de processos e arquivos que se assemelham muito aos encontrados em ambientes Linux, permitindo que ele evite a detecção por usuários afetados.
Para ocultar ainda mais sua presença, o Perfctl emprega várias táticas de stealth. Entre elas está a instalação de muitos componentes como rootkits, uma categoria específica de malware projetada para se esconder do sistema operacional e das ferramentas administrativas. Estratégias de evasão adicionais incluem:
- Interrompendo atividades facilmente detectáveis em novos logins de usuários
- Utilizando um soquete Unix sobre TOR para comunicação externa
- Excluindo seu binário de instalação após a execução e posteriormente executando como um serviço em segundo plano
- Manipulando o processo Linux pcap_loop usando uma técnica conhecida como hooking para evitar que ferramentas administrativas registrem tráfego malicioso
- Suprimindo erros de mensagem para evitar alertas visíveis durante a execução.
O Perfctl é projetado para persistência, permitindo que ele permaneça em máquinas infectadas mesmo após reinicializações ou tentativas de eliminar componentes principais. Ele consegue isso por meio de técnicas como modificar o script ~/.profile, que inicializa o ambiente durante o login do usuário, permitindo que o malware seja carregado antes de processos legítimos do servidor. Ele também se copia para vários locais de disco da memória. O hooking do pcap_loop aprimora ainda mais a persistência ao permitir que atividades inseguras continuem mesmo após as cargas primárias terem sido detectadas e removidas.
Além de utilizar recursos do sistema para minerar criptomoedas, o Perfctl transforma a máquina infectada em um proxy gerador de lucro, permitindo que clientes pagantes retransmitam seu tráfego de internet. Pesquisadores de segurança cibernética também notaram que o malware funciona como um backdoor para instalar outras famílias de malware.
O Fluxo de Ataque da Infecção pelo Perfctl Malware
Após tirar vantagem de uma vulnerabilidade ou configuração incorreta, o código de exploração baixa o payload primário de um servidor comprometido, que foi transformado em um canal de distribuição anônimo para o malware. No ataque examinado, o payload foi nomeado httpd. Após a execução, o arquivo se replica da memória para um novo local no diretório /temp, executa a versão copiada, encerra o processo original e exclui o binário baixado.
Uma vez realocado para o diretório /tmp, o arquivo é executado sob um nome diferente que imita um processo Linux conhecido, especificamente chamado sh neste caso. Posteriormente, ele estabelece um processo local de Comando e Controle (C2). Ele busca obter privilégios de sistema root explorando CVE-2021-4043, uma vulnerabilidade de escalonamento de privilégios que foi corrigida em 2021 dentro do Gpac, uma popular estrutura multimídia de código aberto.
O malware então se copia da memória para vários outros locais de disco, mais uma vez usando nomes que lembram arquivos de sistema de rotina. Ele também implanta um rootkit junto com um conjunto de utilitários Linux comumente usados que foram alterados para funcionar como rootkits, junto com o componente de mineração. Em alguns casos, o malware instala software para "proxy-jacking", que se refere ao roteamento secreto de tráfego através da máquina infectada, ocultando a verdadeira origem dos dados.
Como parte de suas operações C2, o malware abre um soquete Unix, cria dois diretórios dentro do diretório /tmp e armazena dados operacionais lá. Esses dados incluem eventos de host, os locais de suas cópias, nomes de processos, logs de comunicação, tokens e informações de log adicionais. Além disso, ele utiliza variáveis de ambiente para armazenar dados que influenciam sua execução e comportamento.
Todos os binários são compactados, despojados e criptografados, demonstrando um compromisso sólido em evadir medidas de segurança e complicar esforços de engenharia reversa. O malware emprega táticas avançadas de evasão, como pausar suas atividades quando detecta um novo usuário nos arquivos btmp ou utmp e encerrar qualquer malware concorrente para manter o domínio sobre o sistema infectado.
O Perfctl Coloca em Risco Dezenas de Milhares de Dispositivos
Ao analisar dados sobre o número de servidores Linux conectados à Internet em vários serviços e aplicativos, os pesquisadores estimam que milhares de máquinas estão infectadas com Perfctl. Suas descobertas indicam que o conjunto de máquinas vulneráveis — aquelas que ainda não aplicaram o patch para CVE-2023-33426 ou têm configurações incorretas — chega a milhões. No entanto, os pesquisadores ainda não avaliaram a quantidade total de criptomoeda gerada pelos mineradores prejudiciais.
Para verificar se seu dispositivo foi alvo ou infectado pelo Perfctl, os usuários devem procurar os indicadores identificados de comprometimento. Além disso, eles devem estar atentos a picos incomuns no uso da CPU ou lentidão inesperada do sistema, especialmente durante períodos ociosos.
