Desde 2021, os pesquisadores identificaram uma ameaça crescente que afeta os sistemas Linux. O malware, nomeado Perfctl, destaca-se pela capacidade de se manter oculto enquanto explora configurações incorretas e vulnerabilidades críticas. Essa ameaça tem infectado milhares de dispositivos Linux, permanecendo instalados de forma furtiva e persistente, o que dificulta seu combate.
Ameaça persistente e técnicas de disfarce do Perfctl
Os pesquisadores da Aqua Security identificaram que o Perfctl utiliza um conjunto avançado de técnicas de disfarce, que permite sua instalação em diversas configurações vulneráveis, o que aumenta consideravelmente seu impacto. Com capacidade para explorar mais de 20.000 configurações incorretas, o malware atinge uma ampla gama de sistemas Linux conectados à internet. O malware também pode explorar a vulnerabilidade CVE-2023-33246, uma falha crítica presente na plataforma Apache RocketMQ, amplamente utilizada em sistemas Linux.
Além disso, o Perfctl utiliza rootkits, uma classe de malware que oculta processos, arquivos e atividades de ferramentas administrativas e do próprio sistema operacional. Um dos principais truques trabalhados pelo Perfctl é adotar nomes de processos e arquivos semelhantes aos de importados legítimos do Linux, como o perf , o que dificulta sua detecção.
Métodos de persistência e atividades maliciosas
O Perfctl foi projetado para garantir persistência, o que significa que ele permanece ativo mesmo após reinicializações ou tentativas de remoção. Um dos métodos utilizados para isso é modificar o arquivo ~/.profile, garantindo que o malware seja carregado antes dos processos legítimos do sistema. Além disso, ele se replica para vários locais de disco e usa técnicas de “hooking” no processo pcap_loop , o que lhe permite continuar operando sem interrupções.
A Aqua Security comentou que o Perfctl realiza uma série de atividades maliciosas, incluindo:
- Mineração de criptomoedas : Ele utiliza recursos da máquina infectada para gerar criptomoedas secretamente, o que aumenta o consumo de CPU e o uso de energia.
- Serviço de proxy-jacking : Transforma uma máquina em um proxy pago para retransmitir tráfego de internet, ocultando a origem dos dados e direcionando o tráfego para outros destinos.
- Instalação de backdoors : O malware também pode funcionar como um backdoor para a instalação de outras famílias de malwares no sistema infectado, aumentando o risco de ataques ainda mais complexos.
Essas atividades maliciosas são realizadas de forma furtiva, tornando o Perfctl uma ameaça persistente e difícil de detectar.
Arquitetura avançada e estratégia de evasão
O design do Perfctl também inclui recursos que permitem evitar a detecção. Entre eles, destaca-se a habilidade do malware em parar sua atividade sempre que um novo usuário efetua login no sistema, além de se comunicar com redes externas através de um soquete Unix sobre a rede TOR. Ao mesmo tempo, o malware exclusivo de sua instalação binária será concluído, o que evita que arquivos suspeitos sejam detectados.
Essas características complexas tornam o Perfctl um exemplo perigoso de ciberameaça direcionado a sistemas Linux, afetando tanto usuários individuais quanto empresas. Além disso, seu uso de rootkits e manipulação de variáveis de ambiente demonstram uma intenção clara de ocultar sua presença e impedir tentativas de remoção.
Relacionamentos com infecções e dificuldades na remoção de malware
Pesquisadores encontraram relatos em vários fóruns e redes sociais que indicam infecções relacionadas ao Perfctl. Administradores relatando que o malware mantinha a CPU dos sistemas em 100%, mas parava assim que o usuário fazia login, reiniciando sua atividade após o logout. Em um dos relatos, um administrador afirmou ter tentado remover o malware sem sucesso, relatando que o Perfctl sempre se reiniciava após cada logout, frustrando suas tentativas de limpeza do sistema.
Além disso, o Perfctl utiliza técnicas de detecção de login para interromper sua operação enquanto o administrador está ativo no sistema. O malware ainda utiliza comandos de controle locais e configura variáveis de ambiente para garantir a execução contínua e evitar que antivírus ou ferramentas de monitoramento identifiquem suas atividades.
Estimativa de impacto e medidas de proteção
O impacto do Perfctl é significativo, e o número de máquinas infectadas é estimado em milhares. Considerando o número total de servidores Linux expostos a riscos de configurações incorretas e vulnerabilidades conhecidas, milhões de sistemas podem estar suscetíveis à infecção. As práticas de evasão e persistência do Perfctl fazem dele uma ameaça crítica para empresas e administradores de sistemas.
Para detectar possíveis infecções pelo Perfctl, os administradores devem monitorar o uso da CPU e eventuais lentidões repentinas, especialmente em períodos de baixa atividade. Outras medidas preventivas incluem a aplicação de patches de segurança para vulnerabilidades críticas, como a CVE-2023-33246, e a correção de configurações de segurança indicadas pela Aqua Security.
Conclusão: Necessidade de vigilância e medidas de defesa
A presença do Perfctl revela um cenário de ameaças sofisticadas que visam sistemas Linux e outras infraestruturas. A capacidade do malware de minerar criptomoedas e oferecer serviços de proxy-jacking para clientes pagantes representa um desafio crescente. Embora o Perfctl não seja o primeiro malware a utilizar técnicas avançadas de ocultação e persistência, seu impacto e sofisticação reforçam a importância de práticas de segurança robustas para a proteção de sistemas conectados à internet.
Para se defender, é essencial que administradores de sistemas monitorem suas máquinas regularmente e estejam atentos a atualizações e relatórios de vulnerabilidades. Além disso, é importante que empresas e indivíduos adotem uma postura de segurança ativa e proativa, atualizando sistemas e utilizando soluções de monitoramento de segurança que possam detectar atividades anômalas.
FONTE: ARSTECHNICA
