Malware perfecto

Una cepa de software amenazante ha infectado miles de sistemas basados en Linux. Se destaca por su enfoque sigiloso, la amplia gama de configuraciones erróneas que puede explotar y la amplia gama de acciones dañinas que puede llevar a cabo.

Detectada por primera vez en 2021, esta amenaza aprovecha más de 20.000 configuraciones erróneas comunes para infiltrarse en los sistemas, lo que supone un riesgo para millones de dispositivos conectados a Internet. Además, se aprovecha de CVE-2023-33426, una vulnerabilidad crítica con una puntuación de gravedad máxima de 10 que se parcheó el año pasado en Apache RocketMQ, una plataforma de mensajería y streaming muy utilizada en sistemas Linux.

El malware Perfctl está equipado con una amplia gama de capacidades maliciosas

El nombre de Perfctl se debe a un componente malicioso que extrae criptomonedas de forma encubierta. Los desarrolladores, cuya identidad sigue siendo desconocida, combinaron el nombre de la herramienta de monitorización del rendimiento de Linux "perf" con "ctl", una abreviatura común en las utilidades de línea de comandos. Una característica notable de Perfctl es el uso de nombres de procesos y archivos que se parecen mucho a los que se encuentran normalmente en los entornos Linux, lo que le permite evadir la detección de los usuarios afectados.

Para ocultar aún más su presencia, Perfctl emplea diversas tácticas de sigilo, entre ellas la instalación de numerosos componentes como rootkits, una categoría específica de malware diseñado para ocultarse del sistema operativo y las herramientas administrativas. Otras estrategias de evasión incluyen:

• Detener actividades fácilmente detectables cuando nuevos usuarios inician sesión
• Utilizando un socket Unix sobre TOR para comunicación externa
• Eliminar su binario de instalación después de la ejecución y ejecutarlo posteriormente como un servicio en segundo plano
• Manipulación del proceso pcap_loop de Linux mediante una técnica conocida como "enganche" para evitar que las herramientas administrativas registren tráfico malicioso
• Suprimir errores de mensaje para evitar alertas visibles durante la ejecución.

Perfctl está diseñado para la persistencia, lo que le permite permanecer en las máquinas infectadas incluso después de reinicios o intentos de eliminar componentes principales. Esto se logra mediante técnicas como la modificación del script ~/.profile, que inicializa el entorno durante el inicio de sesión del usuario, lo que permite que el malware se cargue antes que los procesos legítimos del servidor. También se copia a sí mismo en varias ubicaciones de disco desde la memoria. El enganche de pcap_loop mejora aún más la persistencia al permitir que las actividades inseguras continúen incluso después de que se hayan detectado y eliminado las cargas útiles principales.

Además de utilizar los recursos del sistema para extraer criptomonedas, Perfctl transforma la máquina infectada en un proxy que genera ganancias, lo que permite a los clientes que pagan retransmitir su tráfico de Internet. Los investigadores de ciberseguridad también han observado que el malware funciona como una puerta trasera para instalar otras familias de malware.

Flujo de ataque de la infección de malware Perfctl

Después de aprovechar una vulnerabilidad o una configuración incorrecta, el código de explotación descarga la carga útil principal de un servidor comprometido, que se ha convertido en un canal de distribución anónimo para el malware. En el ataque examinado, la carga útil se denominó httpd. Tras la ejecución, el archivo se replica a sí mismo desde la memoria a una nueva ubicación en el directorio /temp, ejecuta la versión copiada, finaliza el proceso original y elimina el binario descargado.

Una vez reubicado en el directorio /tmp, el archivo se ejecuta con un nombre diferente que imita un proceso conocido de Linux, específicamente llamado sh en este caso. Posteriormente, establece un proceso de Comando y Control (C2) local. Busca obtener privilegios del sistema raíz explotando CVE-2021-4043, una vulnerabilidad de escalada de privilegios que fue parcheada en 2021 dentro de Gpac, un popular marco multimedia de código abierto.

El malware luego se copia a sí mismo desde la memoria a varias otras ubicaciones del disco, una vez más usando nombres que se parecen a los archivos de sistema habituales. También implementa un rootkit junto con un conjunto de utilidades de Linux de uso común que han sido modificadas para funcionar como rootkits, junto con el componente de minería. En algunos casos, el malware instala software para "proxy-jacking", que se refiere al enrutamiento encubierto del tráfico a través de la máquina infectada, ocultando el verdadero origen de los datos.

Como parte de sus operaciones C2, el malware abre un socket Unix, crea dos directorios dentro del directorio /tmp y almacena allí datos operativos. Estos datos incluyen eventos del host, las ubicaciones de sus copias, nombres de procesos, registros de comunicación, tokens e información de registro adicional. Además, utiliza variables de entorno para almacenar datos que influyen en su ejecución y comportamiento.

Todos los archivos binarios están empaquetados, descomprimidos y cifrados, lo que demuestra un sólido compromiso con la evasión de las medidas de seguridad y complica los esfuerzos de ingeniería inversa. El malware emplea tácticas de evasión avanzadas, como pausar sus actividades cuando detecta un nuevo usuario en los archivos btmp o utmp y eliminar cualquier malware competidor para mantener el dominio sobre el sistema infectado.

Perfctl pone en riesgo decenas de miles de dispositivos

Al analizar los datos sobre la cantidad de servidores Linux conectados a Internet a través de varios servicios y aplicaciones, los investigadores estiman que miles de máquinas están infectadas con Perfctl. Sus hallazgos indican que el grupo de máquinas vulnerables (aquellas que aún no han aplicado el parche para CVE-2023-33426 o tienen configuraciones incorrectas) asciende a millones. Sin embargo, los investigadores aún no han evaluado la cantidad total de criptomonedas generadas por los mineros dañinos.

Para comprobar si su dispositivo ha sido atacado o infectado por Perfctl, los usuarios deben buscar los indicadores de vulnerabilidad identificados. Además, deben estar atentos a picos inusuales en el uso de la CPU o ralentizaciones inesperadas del sistema, especialmente durante períodos de inactividad.