Pesquisadores da Aqua Nautilus, em um relatório publicado em 3 de outubro, revelaram detalhes alarmantes sobre um malware específico que vem afetando servidores Linux, chamado “Perfctl“. A ameaça tem como alvo esses servidores há pelo menos três a quatro anos, utilizando mais de 20.000 configurações incorretas como vetores de ataque para exploração inicial. Após comprometer o sistema, o malware instala um rootkit para ocultar sua presença e utiliza os recursos da CPU para mineração de criptomoedas. O tráfego da mineração, assim como comandos de backdoor e vigilância, são mascarados por meio de criptografia Tor.
O Perfctl representa um perigo significativo e persistente, dada sua longevidade e furtividade. Além de minerar criptomoedas, ele explora vetores para ganhar acesso remoto total ao sistema, o que pode representar um risco ainda mais grave. Detectar esses processos comprometidos é uma tarefa complexa para administradores de servidores, pois o malware é capaz de ocultar completamente suas atividades, alterando os números de utilização da CPU para não indicar irregularidades.
Felizmente, existem estratégias que operadores de servidores podem implementar para mitigar os riscos apresentados pelo Perfctl.
Notícias Relacionadas
Qualcomm
Qualcomm confirma ataque cibernético a dispositivos Android com seus chips
A Qualcomm se pronunciou sobre uma vulnerabilidade de zero dia encontrada em seus chips que foi recentemente explorada para atingir usuários do Android. A empresa confirmou a falha e a exploração dela. Falha em chips Qualcomm levam a ataques em dispositivos Android A vulnerabilidade encontrada afeta uma ampla gama de chipsets encontrados em telefones Android, […]
Falha Fortinet
CISA revelou que falha crítica RCE do FortiOS está sendo explorada em ataques
A CISA revelou que invasores estão explorando ativamente uma falha crítica de execução remota de código (RCE) do FortiOS. A falha (CVE-2024-23113) é causada pelo daemon fgfmd que aceita uma string de formato controlada externamente como argumento. Falha crítica do FortiOS A falha do FortiOS, quando explorada, pode permitir que agentes de ameaças não autenticados […]
Recomendações de mitigação da Aqua Nautilus para o malware Perfctl:
- Corrigir vulnerabilidades: Manter sistemas e bibliotecas atualizados, com ênfase em servidores RocketMQ e vulnerabilidades do Polkit.
- Restringir execução de arquivos: Definir “noexec” em diretórios como
/tmp,/dev/svme outros que o malware possa utilizar. - Desativar serviços desnecessários: Especialmente aqueles que expõem o sistema, como serviços HTTP.
- Gerenciamento de privilégios: Restringir o acesso root a arquivos críticos e aplicar controle baseado em funções (RBAC) para limitar o acesso de usuários e processos.
- Segmentar a rede: Isolar servidores críticos ou usar firewalls para bloquear comunicações, especialmente tráfego Tor ou conexões com pools de mineração de criptomoedas.
- Proteção em tempo real: Implementar ferramentas avançadas de detecção de comportamento e anti-malware para identificar rootkits e atividades suspeitas.
Com essas precauções, espera-se que operadores de servidores possam evitar ou corrigir a exploração do Perfctl. Para uma análise mais detalhada sobre o funcionamento do ataque, consulte o post completo da Aqua Nautilus, disponível no blog da AquaSec.
