Há três ou quatro anos que o malware para Linux, Perfctl, procura mais de 20 mil de configurações incorretas que lhe permitem a exploração dos servidores Linux ligados à Internet.

Já terão sido infetadas milhares de máquinas por este malware que se distingue pela sua dissimulação, pelo número de configurações incorretas que consegue explorar e pela amplitude das atividades maliciosas que pode realizar, dizem os investigadores, liderados por Assaf, diretor de Threat Intelligence na Aqua Nautilus.

Dada a escala, “acreditamos firmemente que os atacantes visaram milhões de pessoas em todo o mundo, com um número potencial de vítimas de milhares, parecendo que, com este malware, qualquer servidor Linux pode estar em risco”, dizem os investigadores da Aqua Nautilus.

Veja na galeria algumas imagens partilhadas pelos investigadores que ajudam a compreender melhor esta ameaça:

Os investigadores procuraram e encontraram numerosos relatórios de incidentes em fóruns relacionados com comprometimentos com este malware e publicaram um extenso documento no qual exploram a arquitetura, as suas componentes, as táticas de evasão de defesa, os mecanismos de persistência e o modo para o detetar.

Entre outras táticas, o malware utiliza rootkits para esconder a sua presença e pára de funcionar quando um utilizador inicia uma nova sessão no servidor. Fica inativo enquanto o servidor está ativo. Além disso, usa o socket Unix para comunicação interna e TOR para comunicação externa. Entretanto, após a execução, elimina o seu binário e prossegue silenciosamente a trabalhar como um serviço. Vai-se copiando e distribuindo no disco adotando nomes enganadores. Abre também uma backdoor no servidor e fica à escuta das comunicações TOR, além de explorar a vulnerabilidade Polkit (CVE-2021-4043) para aumentar os seus privilégios, resumem os investigadores nesta lista que se prolonga.

Em todos os ataques observados, o malware foi utilizado para minerar criptomoedas e, em alguns casos, o Perfctl também transforma a máquina num proxy lucrativo que os clientes pagantes usam para retransmitir seu tráfego de Internet. Os investigadores da Aqua Security também observaram que o malware serve como backdoor para instalar outras famílias de malware.

O malware é muito difícil de eliminar e mesmo em fóruns sobre o tema a informação é escassa. O malware consegue sempre recomeçar após o log out, diz um programador.

Podem encontrar-se discussões sobre o tema no RedditStack Overflow (espanhol), forobeta (espanhol),  brainycp (russo), natnetwork (indonésio), Proxmox (alemão), Camel2243 (chinês), svrforum (coreano), exabytes, virtualmin, serverfault and many others.

Ao extrapolar os dados analisados para o número de servidores Linux ligados à Internet em vários serviços e aplicações, os investigadores estimam que o número de máquinas infetadas pelo Perfctl se cifra em milhares. Entre os que ainda não instalaram o patch para o CVE-2023-33426 ou que contêm uma configuração incorreta vulnerável pode mesmo chegar aos milhões. Os investigadores ainda não mediram a quantidade de criptomoedas que os mineradores maliciosos geraram.

O relatório apresenta passos para prevenir a infeção, mostra como verificar se o equipamento foi alvo ou está infetado pelo Perfctl. Além disso, os gestores de sistemas devem estar atentos a picos de utilização do CPU ou abrandamentos do sistema inesperados, especialmente quando o computador está inativo.