El malware Perfctl se convierte en una amenaza silenciosa que infecta miles de servidores Linux
En un reciente y alarmante descubrimiento realizado por Aqua Security, un malware oculto llamado Perfctl ha estado atacando activamente a servidores Linux durante más de tres años, filtrándose entre las fallas de configuración y vulnerabilidades del servidor. Este sofisticado malware ha comprometido miles de sistemas, centrándose en tácticas de evasión y secuestro de recursos para minar criptomonedas. Esto es lo que necesita saber sobre esta familia de malware que está pasando desapercibida.
Tabla de contenido
Cómo funciona Perfctl
Perfctl explota más de 20.000 vulnerabilidades y configuraciones erróneas conocidas en servidores Linux para establecer un acceso persistente. Una vez dentro, no genera alarmas de inmediato. En cambio, trabaja de forma silenciosa, utilizando un rootkit para ocultarse y solo se activa cuando el servidor está inactivo. La comunicación con su infraestructura de comando y control (C&C) se gestiona cuidadosamente a través de un socket Unix y la red Tor, lo que garantiza que los comandos externos sean difíciles de rastrear.
Una vez que el malware está dentro del sistema, crea una puerta trasera, aumenta los privilegios y permite a sus operadores controlar el servidor infectado de forma remota. Desde allí, Perfctl implementa herramientas de reconocimiento, instala un minero de criptomonedas y utiliza software de proxy-jacking para robar recursos de los sistemas comprometidos. Sus operadores también implementan malware adicional, lo que convierte a estos servidores infectados en caldo de cultivo para actividades más nefastas.
La evasión y la persistencia son la clave del sigilo perfecto
Perfctl está diseñado para una sola cosa, sobre todo: permanecer oculto. Modifica los scripts del sistema para asegurarse de que se ejecuta antes que las cargas de trabajo legítimas, manteniendo así su control sobre el servidor. También se conecta a varias funciones de autenticación, lo que le permite eludir las comprobaciones de contraseñas o incluso registrar credenciales, lo que da a los atacantes un mayor acceso a datos confidenciales. El malware llega incluso a suspender sus operaciones si detecta actividad del usuario, lo que lo hace casi invisible para los administradores.
Los archivos binarios de Perfctl están empaquetados, descomprimidos y cifrados y están diseñados para evadir la detección y la ingeniería inversa. Sus creadores han hecho todo lo posible para garantizar que los mecanismos de defensa tradicionales no funcionen contra ellos. Para empeorar las cosas, Perfctl no se conforma con comprometer un sistema, sino que busca activamente otros programas maliciosos en el servidor e intenta eliminarlos, asegurándose de que sea el único programa malicioso que se ejecuta en el sistema.
La vulnerabilidad: CVE-2021-4043 explotada
Uno de los puntos de entrada críticos para Perfctl es a través de una vulnerabilidad conocida: CVE-2021-4043. Se trata de un error de desreferencia de puntero nulo de gravedad media en el marco multimedia de código abierto Gpac. Perfctl utiliza esta vulnerabilidad para escalar sus privilegios, intentando obtener acceso root. Aunque el error se agregó recientemente al catálogo de vulnerabilidades explotadas conocidas de CISA, sigue siendo un objetivo para este malware debido a su explotación continua.
Una vez que Perfctl obtiene acceso, se propaga por el sistema infectado, se copia a sí mismo en múltiples ubicaciones e incluso instala utilidades de Linux modificadas que actúan como rootkits de usuario. Estas utilidades ocultan aún más sus operaciones y permiten que el criptominero se ejecute en segundo plano sin que nadie se dé cuenta.
El alcance del ataque
El alcance de Perfctl es amplio: Aqua Security identificó tres servidores de descarga utilizados en los ataques y una serie de sitios web comprometidos. Los actores de amenazas detrás de Perfctl utilizan listas de fuzzing de recorrido de directorios que contienen casi 20.000 entradas para buscar archivos de configuración y secretos expuestos. Esto deja en claro que los atacantes no solo se basan en vulnerabilidades aleatorias, sino que buscan sistemáticamente configuraciones incorrectas para explotar.
¿Qué se puede hacer?
El descubrimiento de Perfctl destaca la importancia de mantener configuraciones seguras en los servidores Linux y de aplicar parches a las vulnerabilidades conocidas lo antes posible. Los administradores de sistemas deben auditar periódicamente sus sistemas para detectar actividad inusual, especialmente durante períodos de inactividad, y monitorear el tráfico de red sospechoso que podría indicar la presencia de un rootkit o un minero de criptomonedas.
Dada la naturaleza sofisticada de Perfctl, los mecanismos de detección tradicionales pueden no ser suficientes. Las organizaciones deberían considerar la implementación de herramientas avanzadas de detección de amenazas y soluciones de monitoreo que puedan identificar patrones inusuales en el comportamiento del servidor, incluso si el malware está intentando ocultarse activamente.