Malware furtivo, escondido desde 2021, deixa milhões de servidores Linux vulneráveis

O Perfctl é instalado ao explorar mais de 20 mil falhas de configuração comuns, tornando uma vasta quantidade de máquinas potenciais alvos.

Além disso, o malware pode aproveitar a vulnerabilidade CVE-2023-33426, classificada com a gravidade máxima de 10/10, corrigida no ano passado no Apache RocketMQ, uma plataforma de mensagens e streaming amplamente usada em servidores Linux.

Uma vez presente na máquina, o Perfctl utiliza os servidores infectados para minerar moedas digitais de maneira furtiva e os transforma em proxies para gerar lucro, técnica conhecida como proxy-jacking. Esses proxies são vendidos a clientes pagantes, que redirecionam seu tráfego pela máquina infectada. O malware também atua como uma porta de entrada para a instalação de outros malwares.

Para se ocultar, o Perfctl instala muitos de seus componentes como rootkits, uma categoria de malware projetada para esconder sua presença do sistema operacional e de ferramentas administrativas. Ele também se disfarça sob nomes de processos comuns no Linux, como “sh” ou “httpd”, para não levantar suspeitas.

O malware é projetado para garantir persistência no sistema, resistindo a reinicializações e tentativas de remoção. Ele modifica o script “.profile”, que configura o ambiente de login do usuário, garantindo que o malware seja carregado antes das operações legítimas no servidor. Além disso, o Perfctl copia a si mesmo da memória para múltiplos locais no disco, obtendo privilégios de administrador (root).

Um usuário do Reddit relatou que dois servidores rodando CentOS estavam infectados com o malware, que consumia 100% da CPU. Mesmo após seguir procedimentos sugeridos pela comunidade para removê-lo, o malware retornava após cada reinicialização.

Pesquisadores estimam que milhares de máquinas já foram comprometidas, enquanto milhões de servidores continuam vulneráveis, sem a correção do patch para a CVE-2023-33426 ou expostos por falhas de configuração. O volume de ativos digitais gerados pelos mineradores maliciosos ainda é desconhecido.

Recomenda-se monitorar picos incomuns de uso da CPU ou lentidão repentina no sistema, especialmente em períodos de inatividade.

O relatório completo sobre o Perfctl, divulgado pela Aqua Security, pode ser conferido neste link.