Este comentario de Reddit publicado en el subreddit de CentOS es típico. Un administrador notó que dos servidores estaban infectados con un secuestrador de criptomonedas con los nombres perfcc y perfctl. El administrador quería ayuda para investigar la causa. «Solo me di cuenta del malware porque mi configuración de monitoreo me alertó sobre la utilización del 100% de la CPU», escribió el administrador en la publicación de abril de 2023. “Sin embargo, el proceso se detenía inmediatamente cuando iniciaba sesión mediante SSH o consola. Tan pronto como cerrara sesión, el malware volvería a ejecutarse en unos segundos o minutos”. El administrador continuó: Intenté eliminar el malware siguiendo los pasos descritos en otros foros, pero fue en vano. El malware siempre logra reiniciarse una vez que cierro la sesión. También busqué en todo el sistema la cadena «perfcc» y encontré los archivos que se enumeran a continuación. Sin embargo, eliminarlos no resolvió el problema. ya que sigue reapareciendo cada vez que se reinicia. Otras discusiones incluyen: Reddit, Stack Overflow (español), forobeta (español), Brainycp (ruso), natnetwork (indonesio), Proxmox (alemán), Camel2243 (chino), svrforum (coreano), exabytes,>virtualmin,>serverfault y muchos otros. Después de explotar una vulnerabilidad o una mala configuración, el código de explotación descarga la carga útil principal de un servidor que, en la mayoría de los casos, ha sido pirateado por el atacante y convertido en un canal para distribuir el malware de forma anónima. Un ataque dirigido al honeypot de los investigadores denominó la carga útil httpd. Una vez ejecutado, el archivo se copia desde la memoria a una nueva ubicación en el directorio /temp, lo ejecuta y luego finaliza el proceso original y elimina el binario descargado. Una vez movido al directorio /tmp, el archivo se ejecuta con un nombre diferente, que imita el nombre de un proceso conocido de Linux. El archivo alojado en el honeypot se llamó sh. A partir de ahí, el archivo establece un proceso de comando y control local e intenta obtener derechos del sistema raíz explotando CVE-2021-4043, una vulnerabilidad de escalada de privilegios que fue parcheada en 2021 en Gpac, un marco multimedia de código abierto ampliamente utilizado.