Perfectl Malware Perfectl en un impresionante malware: el malware ha estado circulando desde al menos 2021. Se instala explotando más de 20.000 configuraciones erróneas comunes, una capacidad que puede convertir millones de máquinas conectadas a Internet en objetivos potenciales, investigadores de Aqua Security dicho. También puede explotar CVE-2023-33246, una vulnerabilidad con una clasificación de gravedad de 10 sobre 10 que se parchó el año pasado en Apache RocketMQ, una plataforma de mensajería y transmisión que se encuentra en muchas máquinas Linux. Los investigadores llaman al malware Perfctl, el nombre de un componente malicioso que extrae subrepticiamente criptomonedas. Los desarrolladores desconocidos del malware le dieron al proceso un nombre que combina la herramienta de monitoreo perf Linux y ctl, una abreviatura comúnmente utilizada con herramientas de línea de comandos. Una característica distintiva de Perfctl es el uso de nombres de procesos y archivos que son idénticos o similares a los que se encuentran comúnmente en entornos Linux. La convención de nomenclatura es una de las muchas formas en que el malware intenta pasar desapercibido para los usuarios infectados. Perfctl se oculta aún más utilizando una serie de otros trucos. Una es que instala muchos de sus componentes como rootkits, una clase especial de malware que oculta su presencia al sistema operativo y a las herramientas administrativas. Otros mecanismos ocultos incluyen: Detener actividades que son fáciles de detectar cuando un nuevo usuario inicia sesión. Usar un socket Unix sobre TOR para comunicaciones externas. Eliminar su binario de instalación después de la ejecución y ejecutarlo como un servicio en segundo plano a partir de entonces. Manipular el proceso de Linux pcap_loop a través de una técnica conocida como enganche para evitar que las herramientas de administración registren el tráfico malicioso. Supresión de errores de mensajes para evitar advertencias visibles durante la ejecución. El malware está diseñado para garantizar la persistencia, es decir, la capacidad de permanecer en la máquina infectada después de reiniciar o intentar eliminar componentes principales. Dos de estas técnicas son (1) modificar el script ~/.profile, que configura el entorno durante el inicio de sesión del usuario para que el malware se cargue antes de las cargas de trabajo legítimas que se espera que se ejecuten en el servidor y (2) copiarse desde la memoria a múltiples ubicaciones de disco. El enlace de pcap_loop también puede proporcionar persistencia al permitir que las actividades maliciosas continúen incluso después de que se detecten y eliminen las cargas principales. Además de utilizar los recursos de la máquina para extraer criptomonedas, Perfctl también convierte la máquina en un proxy con fines de lucro que los clientes que pagan utilizan para transmitir su tráfico de Internet. Los investigadores de Aqua Security también han observado que el malware actúa como puerta trasera para instalar otras familias de malware. Algo tan complejo e impresionante implica que detrás hay un gobierno. Corea del Norte es el gobierno que sabemos que piratea criptomonedas para financiar sus operaciones. Pero esto parece demasiado complejo para eso. No tengo idea de cómo atribuir esto. Etiquetas: atribución, criptomoneda, piratería, Linux, malware Publicado el 14 de octubre de 2024 a las 7:06 a. m. • 0 comentarios