Los sistemas Linux son el objetivo de una nueva amenaza grave malware Puede actuar como cargador, proxy y minero de criptomonedas.
El malware denominado Perfctl fue detectado recientemente por investigadores de ciberseguridad de Aqua Security, quienes afirman que existe desde al menos 2021 y que hasta ahora ha infectado a miles de usuarios. Linux Puntos finales. Hay dos formas principales en que los actores de amenazas implementan Perfctl: ya sea explotando miles de posibles configuraciones erróneas o explotando la vulnerabilidad 10/10 que se descubrió el año pasado.
Las configuraciones incorrectas pueden ser casi cualquier cosa, desde contraseñas débiles hasta cualquier otra cosa. En cuanto a las vulnerabilidades, los investigadores han visto que se abusa de CVE-2023-33426. Se trata de una falla de lectura fuera de límites con una gravedad de 10/10 y está presente en la plataforma de transmisión y mensajería Apache RocketMQ.
Agente y cargador
Una vez que se implementa el malware, se necesita un esfuerzo adicional para permanecer oculto y persistente, lo que hace que los usuarios de Reddit se quejen de que no pueden eliminar el malware de sus dispositivos, incluso después de eliminar varios componentes.
Cuando se está ejecutando, Perfctl puede hacer varias cosas. Su característica más destacada parece ser la extracción de criptomonedas para los atacantes. Sin embargo, también puede actuar como proxy de un servicio comercial, donde otros estafadores pagan para enrutar su tráfico a través de estos dispositivos y así ocultar su identidad. Finalmente, el malware puede actuar como un cargador para difundir otros programas según sea necesario.
Hasta el momento, los investigadores no han determinado quién está detrás del ataque ni cuál es su objetivo final. Agregaron que si bien la cantidad de dispositivos infectados es de miles, la cantidad de objetivos potenciales es de millones, lo que sugiere que los operadores de sistemas Linux deberían estar atentos a posibles indicadores de compromiso.
a través de Ars Técnica