• Admin info
  • Admin or Moderater content only

Perfctl, virus "stealth" e resistente che infetta migliaia di server Linux da tre anni

Rispondi
Avatar utente
openresource
Administrator
Administrator
Messaggi: 370
Iscritto il: mar gen 28, 2020 9:52 pm
Reactions score: 4
Località: varese
Contatta:
ott 2024 07 09:13

Perfctl, virus "stealth" e resistente che infetta migliaia di server Linux da tre anni

Messaggio da openresource

Immagine

Un malware molto subdolo e difficile da individuare infetta migliaia di computer basati su Linux da almeno il 2021, secondo una ricerca di Aqua Security. Si chiama Perfctl, ed è un software decisamente evoluto: per installarsi fa affidamento su un arsenale di exploit per oltre 20.000 dei più comuni e noti errori di configurazione del sistema operativo, oltre che per una falla gravissima (punteggio di severità 10 su 10, fatto piuttosto raro) della piattaforma di messaggistica e streaming Apache RocketMQ.

Gli sviluppatori di Perfctl, al momento del tutto ignoti, l’hanno anche reso molto “stealth”: tutti i nomi di file e processi che lo riguardano, a partire dallo stesso Perfctl, usano convenzioni e abbreviazioni chiaramente ispirati al gergo tipico di Linux, così da non destare sospetti a uno sguardo non troppo attento. Ma è solo la punta dell’iceberg: il malware installa la maggior parte dei suoi componenti come rootkit, per loro natura invisibili a OS e strumenti di amministrazione; interrompe tutte le attività e processi più evidenti non appena l’utente fa il login; usa socket Unix su rete TOR per comunicare via internet; cancella i suoi stessi file di installazione e gira come processo in background; blocca la visualizzazione dei messaggi di errore di sistema.

Il malware è anche molto resistente: riesce a riattivarsi in caso di disattivazione manuale e riavvio del sistema, e copia sé stesso dalla memoria a varie posizioni sul drive di archiviazione in modo tale da sopravvivere alla cancellazione manuale di file. E anche in caso di successo nell’eliminazione di alcuni componenti chiave, il software installa altre tipologie di processi e attività secondarie che possono continuare a esporre il sistema ad attività non autorizzate.Principalmente, Perfctl è un crypto miner: quando rileva che non c’è nessun utente attivo, esegue l’estrazione di criptovalute, impegnando risorse hardware e banda della macchina infetta. Non solo: il malware è pensato anche come backdoor per installare altri software non autorizzati.

Perfctl è più o meno noto da diverso tempo: sistemisti e utenti l’hanno segnalato a più riprese nel tempo sulle community specializzate, come i subreddit dedicati a Linux e alla cybersicurezza. Ma una ricerca/indagine organica e comprensiva non era ancora mai stata svolta. Per difendersi, i ricercatori di Aqua Security consigliano per prima cosa di installare tutte le patch di sicurezza possibile, e poi di incrementare il livello di restrizioni e accesso a file e risorse di sistema il più possibile. Naturalmente è anche possibile rivolgersi ai servizi professionali di Aqua stessa, ma la società osserva che ci sono alcuni antivirus concorrenti in grado di rilevare e rimuovere correttamente la minaccia.

via: https://www.hdblog.it/
Immagine
Rispondi