Stealthy Malware ha infectado miles de sistemas Linux durante años

Otras discusiones incluyen: Reddit, División de pila (Español), girar (Español), cerebro (Ruso), red nat (Indonesio), Proxmox (Alemán), camello2243 (Chino), foro svr (Coreano), exabytes, minuto virtual, fallo del servidor y muchos más.

Después de explotar una vulnerabilidad o una configuración incorrecta, el código de explotación descarga la carga útil principal del servidor, que, en la mayoría de los casos, es robada por el atacante y convertida en un canal de distribución de malware anónimo. Un ataque dirigido al honeypot de los investigadores denominó recompensa httpd. Una vez hecho esto, copia el archivo de la memoria a una nueva ubicación en el directorio /temp, lo ejecuta, luego detiene el proceso principal y elimina el binario descargado.

Una vez movido al directorio /tmp, el archivo se ejecuta con un nombre diferente, imitando el nombre de un sistema operativo Linux popular. El archivo que se encontraba en el tarro de miel se llamaba sh. A partir de ahí, el archivo crea un proceso de gestión y control local e intenta obtener privilegios de root utilizando CVE-2021-4043, una vulnerabilidad que fue descubierta en 2021 en Gpac, un framework multimedia ampliamente utilizado.

El malware continúa copiándose desde la memoria a algunas otras ubicaciones del disco, y también utiliza nombres que aparecen como archivos normales del sistema. Luego, el malware arroja un rootkit, muchas herramientas populares de Linux modificadas para que actúen como rootkits y una mina. En algunos casos, el malware también instala software para “proxy-jacking”, un término para enrutar secretamente el tráfico a través de una máquina infectada de modo que no se revele la verdadera fuente de los datos.

Los investigadores continuaron:

Como parte de su operación de comando y control, el malware abre un socket Unix, crea dos directorios en el directorio /tmp y almacena los datos allí para influir en su ejecución. Esta información incluye eventos del anfitrión, ubicaciones de copias, nombres de procesos, detalles de contacto, tokens e información adicional. Además, el malware utiliza una variedad de entornos para almacenar datos que afectan su rendimiento y comportamiento.

Todos los archivos binarios están empaquetados, descomprimidos y cifrados, lo que demuestra un gran esfuerzo por eludir las medidas de seguridad y frustrar las pruebas de ingeniería modernas. El malware también utiliza técnicas de evasión avanzadas, como detener su ejecución cuando encuentra un nuevo usuario en archivos btmp o utmp y eliminar malware de la competencia para mantener el control sobre el sistema infectado.

Al pasar datos como el número de servidores Linux conectados a la red a través de diferentes servicios y aplicaciones, según lo rastreado por servicios como Shodan y Censys, los investigadores estiman que el número de máquinas infectadas por Perfctl se estima en miles. Dicen que el grupo de máquinas vulnerables (lo que significa que no han instalado un parche para CVE-2023-33426 o tienen una mala configuración) es de millones. Los investigadores aún no han medido la cantidad de criptomonedas que han producido los mineros maliciosos.

Las personas que quieran saber si Perfctl ataca o infecta su dispositivo deben buscar signos de compromiso incluidos en publicación del jueves. También deben estar atentos a picos inusuales en el uso de la CPU o ralentizaciones repentinas del sistema, especialmente si ocurren durante períodos de inactividad. El informe del jueves también ofrece medidas para prevenir infecciones en primer lugar.

Esta historia fue publicada originalmente. Ars Técnica.