Il recente malware Perfctl sta prendendo di mira i server Linux mal configurati e vulnerabili, focalizzandosi principalmente sull'estrazione di criptovalute e sul proxyjacking. Questo attacco, secondo i ricercatori di sicurezza di Aqua, utilizza tecniche sofisticate per eludere la rilevazione e mantenere la sua presenza sui server compromessi. Una delle caratteristiche distintive di Perfctl è la sua capacità di interrompere le attività "rumorose" quando un nuovo utente si connette al server, rimanendo inattivo fino a quando il server non ritorna in uno stato di inattività. Dopo l'esecuzione, il malware elimina il proprio binario originale e continua a operare in background come servizio di sistema.

Caratteristiche di Perfctl

Perfctl sfrutta una vulnerabilità di sicurezza in Polkit (CVE-2021-4043, nota anche come PwnKit) per ottenere privilegi di root e installare un miner denominato perfcc. Il nome Perfctl sembra essere stato scelto per confondersi con i processi legittimi del sistema, in quanto "perf" è un noto strumento di monitoraggio delle prestazioni di Linux e "ctl" è un suffisso comunemente utilizzato nei comandi di controllo, come systemctl. La catena di attacco inizia con la compromissione di server Linux sfruttando un'istanza vulnerabile di Apache RocketMQ per distribuire un payload chiamato "httpd". Una volta eseguito, il malware copia se stesso in una nuova posizione nella directory "/tmp", esegue il nuovo binario, termina il processo originale ed elimina il binario iniziale per coprire le tracce.

Comportamento del malware

In aggiunta, il malware si copia in altre posizioni del sistema, assumendo nomi apparentemente innocui, ed è progettato per installare un rootkit per l'evasione della difesa e il payload del miner. Alcuni casi prevedono anche il recupero e l'esecuzione di software di proxyjacking da un server remoto.

Consigli per la mitigazione

Per mitigare i rischi posti da Perfctl, è consigliabile:

• Mantenere aggiornati sistemi e software
• Limitare l'esecuzione di file
• Disabilitare servizi non utilizzati
• Applicare la segmentazione della rete
• Implementare il Controllo degli Accessi Basato sui Ruoli (RBAC) per limitare l'accesso ai file critici

Rilevamento del malware

Per rilevare il malware Perfctl, è opportuno monitorare picchi insoliti nell'uso della CPU o rallentamenti del sistema, che possono indicare attività di mining di criptovalute, soprattutto durante i periodi di inattività.