Un nuevo malware de Linux, llamado 'Perfctl', está atacando a millones de usuarios en todo el mundo, imitando archivos del sistema para evitar ser detectado. Este malware sofisticado compromete servidores Linux, aprovechando vulnerabilidades para criptojacking y secuestro de recursos del sistema.
Descubrimiento por investigadores de ciberseguridad
Investigadores en ciberseguridad de Aqua Nautilus han descubierto este malware, que ha afectado a millones a nivel global, explotando más de 20,000 configuraciones incorrectas. Aunque el malware ha estado activo durante algún tiempo, recientemente atacó un honeypot de Nautilus, lo que permitió a los investigadores detectar y analizar esta amenaza que puede comprometer cualquier servidor Linux.
Un malware persistente y evasivo
Según Aqua Nautilus, este malware, denominado "perfctl", ha estado atacando servidores de manera silenciosa durante los últimos años. Esta amenaza es altamente persistente y utiliza técnicas evasivas para buscar vulnerabilidades y comprometer sistemas.
El nombre del malware proviene del proceso de criptominería, que consume recursos del sistema y genera problemas significativos para los desarrolladores de Linux. En la investigación técnica de la empresa, compartida exclusivamente con Hackread.com, se han reportado numerosos incidentes y discusiones en comunidades en línea que apuntan a la presencia generalizada de perfctl.
Impacto en la comunidad de desarrolladores
El impacto del malware ha sido notable en varios foros de desarrolladores, incluidos Reddit y Stack Overflow. "En muchos de estos posts, se pueden encontrar respuestas con enlaces a informes sobre malware escritos por investigadores. Sin embargo, en este caso no había enlaces a tales informes", señalaron Assaf Morag e Idan Revivo en su investigación.
Técnicas de evasión avanzadas
Un aspecto preocupante que resaltan los investigadores es que Perfctl utiliza rootkits y técnicas de evasión para ocultar su presencia de las herramientas estándar del sistema y los procesos de monitoreo. Incluso suspende temporalmente sus actividades cuando un nuevo usuario inicia sesión, lo que dificulta su detección. Además, utiliza sockets Unix para la comunicación interna y la red Tor para conexiones externas, lo que complica el rastreo de sus actividades.
Proceso de ataque
El ataque comienza cuando el malware descarga una carga principal desde un servidor HTTP controlado por el atacante, llamado "httpd". Esta carga tiene múltiples capas de ejecución, lo que asegura su persistencia y evasión de la detección. El malware se autocopía en una nueva ubicación, ejecuta un nuevo binario, termina el proceso original y elimina el binario inicial.
Luego, ejecuta la carga principal bajo un nombre diferente, eligiendo un nombre para el proceso que parezca menos sospechoso. El malware es ejecutado por ‘sh’, cambiando su nombre de httpd a sh.
Técnicas de persistencia y criptojacking
Perfctl asegura su persistencia autorreproduciéndose y utilizando nombres de archivo engañosos que se asemejan a archivos legítimos del sistema. Se copia en múltiples ubicaciones del disco, asegurando su supervivencia incluso tras reinicios o limpiezas del sistema.
El objetivo principal del malware es el criptojacking, utilizando los sistemas infectados para la generación de criptomonedas. También se ha observado que realiza proxy-jacking y secuestra recursos del servidor para fines maliciosos. Perfctl intenta explotar la vulnerabilidad Polkit (CVE-2021-4043) para obtener privilegios de root, lo que le otorga mayor acceso y control sobre el sistema.
Puede leer también | Nuevo malware en Linux controlado a través de emojis desde Discord
Perfctl representa una amenaza seria para los servidores Linux, y su habilidad para evadir la detección y comprometer recursos del sistema lo convierte en un desafío significativo para los administradores de sistemas. Las técnicas avanzadas de evasión, junto con su enfoque en la minería de criptomonedas, resaltan la importancia de mantener configuraciones seguras y aplicar parches a las vulnerabilidades conocidas.