{"id":2910,"date":"2024-10-08T00:01:44","date_gmt":"2024-10-08T05:01:44","guid":{"rendered":"https:\/\/zidrave.net\/?p=2910"},"modified":"2024-10-08T00:01:44","modified_gmt":"2024-10-08T05:01:44","slug":"el-malware-de-linux-perfctl-aparentemente-ha-estado-infectando-servidores-linux-durante-anos","status":"publish","type":"post","link":"https:\/\/zidrave.net\/index.php\/2024\/10\/08\/el-malware-de-linux-perfctl-aparentemente-ha-estado-infectando-servidores-linux-durante-anos\/","title":{"rendered":"El malware de Linux \u201cPerfctl\u201d aparentemente ha estado infectando servidores Linux durante a\u00f1os"},"content":{"rendered":"\n

Un malware sofisticado est\u00e1 infectando cantidades masivas de servidores Linux con configuraciones incorrectas. Esto pas\u00f3 desapercibido durante mucho tiempo, tambi\u00e9n debido al buen camuflaje.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

El malware descubierto ahora tiene como objetivo los servidores Linux: como informan los expertos de la consultora de ciberseguridad Aqua Security, el programa llamado \u201cPerfctl\u201d probablemente lleva en circulaci\u00f3n desde 2021 e infecta sistemas Linux para utilizarlos en secreto como servidores proxy y para criptominer\u00eda a utilizar. El programa malicioso tambi\u00e9n puede actuar como cargador de otros programas no deseados.<\/p>\n\n\n\n

Seg\u00fan el informe de an\u00e1lisis, \u00abPerfctl\u00bb probablemente ya haya atacado millones de servidores. Los autores del informe, Assaf Morag e Idan Revivo, estiman que el n\u00famero de dispositivos que el malware pudo infectar con \u00e9xito es de miles. Por lo tanto, \u00abPerfctl\u00bb busca alrededor de 20.000 tipos diferentes de errores de configuraci\u00f3n que pueden tener los servidores Linux: la posibilidad de que su propio sistema est\u00e9 infectado existe b\u00e1sicamente tan pronto como el servidor se conecta a Internet, aclaran Morag y Revivo.<\/p>\n\n\n\n

El malware utiliza servidores para la miner\u00eda de criptomonedas<\/h2>\n\n\n\n

En todos los casos conocidos, el malware ejecut\u00f3 un criptominero. En algunos casos, tambi\u00e9n se utiliz\u00f3 software de jacking proxy, seg\u00fan el informe. Mientras los dos analistas realizaban pruebas de sandbox con el malware, tambi\u00e9n hicieron una observaci\u00f3n: se instalaban programas adicionales en segundo plano para poder monitorear en secreto lo que estaba sucediendo.<\/p>\n\n\n\n

El malware se camufla especialmente bien y persiste obstinadamente en los dispositivos objetivo. Aqua Security pudo descubrir una serie de t\u00e1cticas. As\u00ed es como \u201cPerfctl\u201d utiliza rootkits para ocultar su presencia. Cuando un nuevo usuario inicia sesi\u00f3n, el malware detiene inmediatamente cualquier actividad que pueda resultar sospechosa. Si el usuario vuelve a cerrar sesi\u00f3n, las actividades contin\u00faan nuevamente.<\/p>\n\n\n\n

Comunicaci\u00f3n a trav\u00e9s del servidor TOR<\/h2>\n\n\n\n

La comunicaci\u00f3n dentro del servidor se realiza a trav\u00e9s de sockets Unix, la comunicaci\u00f3n externa se enruta a trav\u00e9s de servidores Tor, lo que hace imposible su seguimiento. Despu\u00e9s de la instalaci\u00f3n, \u00abPerfctl\u00bb elimina sus archivos binarios y contin\u00faa ejecut\u00e1ndose como programa en segundo plano. Se copia a s\u00ed mismo desde la memoria a diferentes ubicaciones del disco duro utilizando nombres enga\u00f1osos.<\/p>\n\n\n\n

Adem\u00e1s, \u00abPerfctl\u00bb abre una puerta trasera en el servidor y \u00abescucha\u00bb la comunicaci\u00f3n TOR. El programa tambi\u00e9n intenta explotar la vulnerabilidad Polkit (CVE-2021-4043) para escalar sus privilegios. La vulnerabilidad fue reparada el a\u00f1o pasado en Apache RocketMQ, una plataforma de mensajer\u00eda y transmisi\u00f3n que se encuentra en muchas computadoras con Linux. Probablemente un ejemplo t\u00edpico de la estrategia del malware de explotar numerosas variantes de sistemas obsoletos o mal configurados.<\/p>\n\n\n\n

\u00bfServicio proxy para ciberdelincuentes?<\/h2>\n\n\n\n

Si Perfctl se ha consolidado con \u00e9xito, se dedica principalmente a la criptominer\u00eda; otra fuente de ingresos para los autores aparentemente es un servicio proxy para otros ciberdelincuentes. Luego pueden dirigir su tr\u00e1fico de Internet a trav\u00e9s de servidores Linux pirateados para ocultar su propia identidad. El malware tambi\u00e9n act\u00faa como cargador y, por tanto, siempre ofrece la posibilidad de instalar programas adicionales en los servidores afectados.<\/p>\n\n\n\n

Un primer s\u00edntoma t\u00edpico del malware es un uso extremadamente alto de la CPU, de casi el 100 por ciento. En su informe, los analistas ofrecen m\u00e1s consejos sobre c\u00f3mo reconocer una posible infecci\u00f3n \u00abPerfctl\u00bb.<\/p>\n\n\n\n

Ya es un tema en muchos foros.<\/h2>\n\n\n\n

La comunidad ya ha tomado nota de los problemas causados \u200b\u200bpor el sofisticado malware. En varios foros, por ejemplo en Reddit, los usuarios se quejaron de que hab\u00edan intentado eliminar un programa extra\u00f1o varias veces sin \u00e9xito y que segu\u00eda apareciendo, incluso si eliminaban por completo los archivos afectados.<\/p>\n\n\n\n

El nombre \u00abPerfctl\u00bb tambi\u00e9n apareci\u00f3 en numerosos hilos sobre el tema en varios foros de desarrolladores como Reddit o Stack Overflow. Morag y Revivo decidieron entonces adoptar el nombre. Es probable que su informe mantenga ocupados a muchos administradores de servidores Linux en un futuro pr\u00f3ximo.<\/p>\n","protected":false},"excerpt":{"rendered":"

Un malware sofisticado est\u00e1 infectando cantidades masivas de servidores Linux<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[2377,6931,3193],"tags":[6147,1716,7335,7332,2264,7336,7330,7338,7339,7327,6146,7334,7337,7328,7340,7333,702,5710,7329,7331],"class_list":["post-2910","post","type-post","status-publish","format-standard","hentry","category-ciberseguridad","category-criptomonedas","category-linux","tag-amenazas-persistentes","tag-ataques-ciberneticos","tag-ataques-en-servidores","tag-ciberseguridad-linux","tag-deteccion-de-malware","tag-infeccion-de-servidores","tag-linux-afectado","tag-linux-malicioso","tag-malware-en-sistemas-linux","tag-malware-linux","tag-malware-oculto","tag-malware-persistente","tag-malware-silencioso","tag-perfctl","tag-proteccion-en-servidores","tag-seguridad-en-linux","tag-seguridad-informatica","tag-servidores-comprometidos","tag-servidores-infectados","tag-vulnerabilidades-linux"],"_links":{"self":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/2910","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/comments?post=2910"}],"version-history":[{"count":1,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/2910\/revisions"}],"predecessor-version":[{"id":2911,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/2910\/revisions\/2911"}],"wp:attachment":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/media?parent=2910"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/categories?post=2910"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/tags?post=2910"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}