[ 138,829 page views, 51,342 usuários - média últimos 90 dias ] - [ 5.782 assinantes na newsletter, taxa de abertura 27% ]

Pesquisar

Malware infectou milhões de servidores Linux

Pesquisadores da Aqua Security descobriram que um malware chamado “perfctl” vem infectando servidores Linux há cerca de três ou quatro anos, quase sem ser detectado. O principal objetivo do perfctl é minerar criptomoedas e realizar ataques de proxyjacking, onde parte da largura de banda dos servidores infectados é comercializada em esquemas de proxy, naturalmente sem o conhecimento do dono. A ameaça atinge milhões de servidores, porque explora configurações incorretas e vulnerabilidades de segurança, expondo credenciais e interfaces administrativas inseguras.

Leia também
Máquina quântica conseguiu quebrar chaves AES
Palo Alto corrige vulnerabilidades gravíssimas

O malware opera de forma altamente sofisticada, com várias camadas de ataque. Entre elas, estão um dropper que instala outros componentes, um rootkit para ocultar suas atividades e um backdoor que permite que invasores controlem remotamente o servidor. Além disso, o perfctl é projetado para roubar recursos, com sua carga principal focada na mineração da criptomoeda Monero. Relatórios de fóruns comunitários indicam que usuários já relatavam o comprometimento dos servidores por esse malware, mas a profundidade da ameaça só foi agora completamente compreendida pelos especialistas.

Os invasores exploram vulnerabilidades conhecidas em softwares amplamente usados, como o Apache RocketMQ. O malware acessa os sistemas através de falhas como a CVE-2023-33246, permitindo que busquem arquivos de configuração mal protegidos. Uma vez no servidor, ele utiliza um script de shell para verificar o ambiente e preparar o terreno para a execução de cargas maliciosas. O processo é habilmente mascarado para evitar detecção, inclusive eliminando vestígios do binário original.

Um dos métodos mais eficazes usados pelo perfctl é a exploração da vulnerabilidade de escalonamento de privilégios no pacote Polkit do Linux, garantindo aos invasores o controle total do sistema infectado. O malware ainda esconde suas atividades ao modificar utilitários como top, ldd e crontab, usados para monitorar e gerenciar o servidor. Isso dificulta a análise forense e permite que o malware continue operando sem ser detectado por administradores e ferramentas de segurança.

O relatório da Aqua Security também revela que, além de minerar criptomoedas, o perfctl facilita ataques de proxyjacking. Através de redes proxy, os invasores conseguem vender a largura de banda das máquinas infectadas. A pesquisa inclui indicadores de comprometimento e orientações para a detecção, como monitoramento de comportamento e integridade de arquivos, oferecendo uma estratégia para combater essa ameaça furtiva.