Un malware sofisticado está infectando cantidades masivas de servidores Linux con configuraciones incorrectas. Esto pasó desapercibido durante mucho tiempo, también debido al buen camuflaje.
El malware descubierto ahora tiene como objetivo los servidores Linux: como informan los expertos de la consultora de ciberseguridad Aqua Security, el programa llamado “Perfctl” probablemente lleva en circulación desde 2021 e infecta sistemas Linux para utilizarlos en secreto como servidores proxy y para criptominería a utilizar. El programa malicioso también puede actuar como cargador de otros programas no deseados.
Según el informe de análisis, «Perfctl» probablemente ya haya atacado millones de servidores. Los autores del informe, Assaf Morag e Idan Revivo, estiman que el número de dispositivos que el malware pudo infectar con éxito es de miles. Por lo tanto, «Perfctl» busca alrededor de 20.000 tipos diferentes de errores de configuración que pueden tener los servidores Linux: la posibilidad de que su propio sistema esté infectado existe básicamente tan pronto como el servidor se conecta a Internet, aclaran Morag y Revivo.
El malware utiliza servidores para la minería de criptomonedas
En todos los casos conocidos, el malware ejecutó un criptominero. En algunos casos, también se utilizó software de jacking proxy, según el informe. Mientras los dos analistas realizaban pruebas de sandbox con el malware, también hicieron una observación: se instalaban programas adicionales en segundo plano para poder monitorear en secreto lo que estaba sucediendo.
El malware se camufla especialmente bien y persiste obstinadamente en los dispositivos objetivo. Aqua Security pudo descubrir una serie de tácticas. Así es como “Perfctl” utiliza rootkits para ocultar su presencia. Cuando un nuevo usuario inicia sesión, el malware detiene inmediatamente cualquier actividad que pueda resultar sospechosa. Si el usuario vuelve a cerrar sesión, las actividades continúan nuevamente.
Comunicación a través del servidor TOR
La comunicación dentro del servidor se realiza a través de sockets Unix, la comunicación externa se enruta a través de servidores Tor, lo que hace imposible su seguimiento. Después de la instalación, «Perfctl» elimina sus archivos binarios y continúa ejecutándose como programa en segundo plano. Se copia a sí mismo desde la memoria a diferentes ubicaciones del disco duro utilizando nombres engañosos.
Además, «Perfctl» abre una puerta trasera en el servidor y «escucha» la comunicación TOR. El programa también intenta explotar la vulnerabilidad Polkit (CVE-2021-4043) para escalar sus privilegios. La vulnerabilidad fue reparada el año pasado en Apache RocketMQ, una plataforma de mensajería y transmisión que se encuentra en muchas computadoras con Linux. Probablemente un ejemplo típico de la estrategia del malware de explotar numerosas variantes de sistemas obsoletos o mal configurados.
¿Servicio proxy para ciberdelincuentes?
Si Perfctl se ha consolidado con éxito, se dedica principalmente a la criptominería; otra fuente de ingresos para los autores aparentemente es un servicio proxy para otros ciberdelincuentes. Luego pueden dirigir su tráfico de Internet a través de servidores Linux pirateados para ocultar su propia identidad. El malware también actúa como cargador y, por tanto, siempre ofrece la posibilidad de instalar programas adicionales en los servidores afectados.
Un primer síntoma típico del malware es un uso extremadamente alto de la CPU, de casi el 100 por ciento. En su informe, los analistas ofrecen más consejos sobre cómo reconocer una posible infección «Perfctl».
Ya es un tema en muchos foros.
La comunidad ya ha tomado nota de los problemas causados por el sofisticado malware. En varios foros, por ejemplo en Reddit, los usuarios se quejaron de que habían intentado eliminar un programa extraño varias veces sin éxito y que seguía apareciendo, incluso si eliminaban por completo los archivos afectados.
El nombre «Perfctl» también apareció en numerosos hilos sobre el tema en varios foros de desarrolladores como Reddit o Stack Overflow. Morag y Revivo decidieron entonces adoptar el nombre. Es probable que su informe mantenga ocupados a muchos administradores de servidores Linux en un futuro próximo.
