Otras discusiones incluyen: Reddit, Stack Overflow (español), forobeta (español), Brainycp (ruso), natnetwork (indonesio), Proxmox (alemán), Camel2243 (chino), svrforum (coreano), exabytes, virtualmin, serverfault y muchos otros. .
Después de explotar una vulnerabilidad o una mala configuración, el código de explotación descarga la carga útil principal de un servidor que, en la mayoría de los casos, ha sido pirateado por el atacante y convertido en un canal para distribuir el malware de forma anónima. Un ataque dirigido al honeypot de los investigadores denominó la carga útil httpd. Una vez ejecutado, el archivo se copia de la memoria a una nueva ubicación en el directorio /temp, lo ejecuta y luego finaliza el proceso original y elimina el binario descargado.
Una vez movido al directorio /tmp, el archivo se ejecuta con un nombre diferente, que imita el nombre de un proceso conocido de Linux. El archivo alojado en el honeypot se llamó sh. A partir de ahí, el archivo establece un proceso de comando y control local e intenta obtener derechos del sistema raíz explotando CVE-2021-4043, una vulnerabilidad de escalada de privilegios que fue parcheada en 2021 en Gpac, un marco multimedia de código abierto ampliamente utilizado.
El malware continúa copiándose desde la memoria a un puñado de otras ubicaciones de disco, una vez más utilizando nombres que aparecen como archivos de sistema de rutina. Luego, el malware coloca un rootkit, una serie de utilidades populares de Linux que han sido modificadas para que sirvan como rootkits, y el minero. En algunos casos, el malware también instala software para “secuestro de proxy”, el término para enrutar subrepticiamente el tráfico a través de la máquina infectada para que no se revele el verdadero origen de los datos.
Los investigadores continuaron:
Al extrapolar datos como el número de servidores Linux conectados a Internet a través de diversos servicios y aplicaciones, según el seguimiento de servicios como Shodan y Censys, los investigadores estiman que el número de máquinas infectadas por Perfctl se mide en miles. Dicen que el grupo de máquinas vulnerables, es decir, aquellas que aún no han instalado el parche para CVE-2023-33426 o contienen una configuración errónea vulnerable, es de millones. Los investigadores aún tienen que medir la cantidad de criptomonedas que han generado los mineros maliciosos.
Las personas que quieran determinar si su dispositivo ha sido atacado o infectado por Perfctl deben buscar los indicadores de compromiso incluidos en la publicación del jueves. También deben estar atentos a picos inusuales en el uso de la CPU o ralentizaciones repentinas del sistema, especialmente si ocurren durante tiempos de inactividad. El informe del jueves también proporciona medidas para prevenir infecciones en primer lugar.
Esta historia apareció originalmente en Ars Técnica.
Leave a Reply