Otras discusiones incluyen: Reddit, División de pila (Español), girar (Español), cerebro (Ruso), red nat (Indonesio), Proxmox (Alemán), camello2243 (Chino), foro svr (Coreano), exabytes, minuto virtual, fallo del servidor y muchos más.
Después de explotar una vulnerabilidad o una configuración incorrecta, el código de explotación descarga la carga útil principal del servidor, que, en la mayoría de los casos, es robada por el atacante y convertida en un canal de distribución de malware anónimo. Un ataque dirigido al honeypot de los investigadores denominó recompensa httpd. Una vez hecho esto, copia el archivo de la memoria a una nueva ubicación en el directorio /temp, lo ejecuta, luego detiene el proceso principal y elimina el binario descargado.
Una vez movido al directorio /tmp, el archivo se ejecuta con un nombre diferente, imitando el nombre de un sistema operativo Linux popular. El archivo que se encontraba en el tarro de miel se llamaba sh. A partir de ahí, el archivo crea un proceso de gestión y control local e intenta obtener privilegios de root utilizando CVE-2021-4043, una vulnerabilidad que fue descubierta en 2021 en Gpac, un framework multimedia muy utilizado.
El malware continúa copiándose desde la memoria a algunas otras ubicaciones del disco, y también utiliza nombres que aparecen como archivos normales del sistema. Luego, el malware arroja un rootkit, muchas herramientas populares de Linux modificadas para que actúen como rootkits y una mina. En algunos casos, el malware también instala software para “proxy-jacking”, un término para enrutar secretamente el tráfico a través de una máquina infectada de modo que no se revele la verdadera fuente de los datos.
Los investigadores continuaron:
Al pasar datos como el número de servidores Linux conectados a la red a través de diferentes servicios y aplicaciones, según lo rastreado por servicios como Shodan y Censys, los investigadores estiman que el número de máquinas infectadas por Perfctl se estima en miles. Dicen que el grupo de máquinas vulnerables (lo que significa que no han instalado un parche para CVE-2023-33426 o tienen una mala configuración) es de millones. Los investigadores aún no han medido la cantidad de criptomonedas que han producido los mineros maliciosos.
Las personas que quieran saber si Perfctl ataca o infecta su dispositivo deben buscar signos de compromiso incluidos en publicación del jueves. También deben estar atentos a picos inusuales en el uso de la CPU o ralentizaciones repentinas del sistema, especialmente si ocurren durante períodos de inactividad. El informe del jueves también ofrece medidas para prevenir infecciones en primer lugar.
Esta historia fue publicada originalmente. Ars Técnica.