Pesquisadores da Aqua Security descobriram que um malware chamado “perfctl” vem infectando servidores Linux há cerca de três ou quatro anos, quase sem ser detectado. O principal objetivo do perfctl é minerar criptomoedas e realizar ataques de proxyjacking, onde parte da largura de banda dos servidores infectados é comercializada em esquemas de proxy, naturalmente sem o conhecimento do dono. A ameaça atinge milhões de servidores, porque explora configurações incorretas e vulnerabilidades de segurança, expondo credenciais e interfaces administrativas inseguras.
Leia também
Máquina quântica conseguiu quebrar chaves AES
Palo Alto corrige vulnerabilidades gravíssimas
O malware opera de forma altamente sofisticada, com várias camadas de ataque. Entre elas, estão um dropper que instala outros componentes, um rootkit para ocultar suas atividades e um backdoor que permite que invasores controlem remotamente o servidor. Além disso, o perfctl é projetado para roubar recursos, com sua carga principal focada na mineração da criptomoeda Monero. Relatórios de fóruns comunitários indicam que usuários já relatavam o comprometimento dos servidores por esse malware, mas a profundidade da ameaça só foi agora completamente compreendida pelos especialistas.
Os invasores exploram vulnerabilidades conhecidas em softwares amplamente usados, como o Apache RocketMQ. O malware acessa os sistemas através de falhas como a CVE-2023-33246, permitindo que busquem arquivos de configuração mal protegidos. Uma vez no servidor, ele utiliza um script de shell para verificar o ambiente e preparar o terreno para a execução de cargas maliciosas. O processo é habilmente mascarado para evitar detecção, inclusive eliminando vestígios do binário original.
Um dos métodos mais eficazes usados pelo perfctl é a exploração da vulnerabilidade de escalonamento de privilégios no pacote Polkit do Linux, garantindo aos invasores o controle total do sistema infectado. O malware ainda esconde suas atividades ao modificar utilitários como top, ldd e crontab, usados para monitorar e gerenciar o servidor. Isso dificulta a análise forense e permite que o malware continue operando sem ser detectado por administradores e ferramentas de segurança.
O relatório da Aqua Security também revela que, além de minerar criptomoedas, o perfctl facilita ataques de proxyjacking. Através de redes proxy, os invasores conseguem vender a largura de banda das máquinas infectadas. A pesquisa inclui indicadores de comprometimento e orientações para a detecção, como monitoramento de comportamento e integridade de arquivos, oferecendo uma estratégia para combater essa ameaça furtiva.