Dirección
175 Greenwich St, New York, NY 10007
Después de explotar una vulnerabilidad o una configuración incorrecta, el código de explotación descarga la carga útil principal de un servidor, que en la mayoría de los casos ha sido pirateado por el atacante y convertido en un canal para la distribución anónima del malware. Un ataque dirigido al honeypot de los investigadores llamado httpd payload. Una vez ejecutado, el archivo se copia de la memoria a una nueva ubicación en el directorio /temp, lo ejecuta y luego finaliza el proceso original y elimina el binario descargado.
Una vez movido al directorio /tmp, el archivo se ejecuta con un nombre diferente, que imita el nombre de un proceso conocido de Linux. El archivo alojado en el honeypot se llamó sh. A partir de ahí, el archivo establece un proceso de comando y control local e intenta obtener derechos del sistema raíz explotando CVE-2021-4043, una vulnerabilidad de escalada de privilegios que fue parcheada en 2021 en Gpac, un marco multimedia de código abierto ampliamente utilizado.
El malware continúa copiándose desde la memoria a otras ubicaciones del disco, una vez más utilizando nombres que aparecen como archivos de sistema de rutina. Luego, el malware coloca un rootkit, una serie de utilidades populares de Linux que han sido modificadas para que sirvan como rootkits, y el minero. En algunos casos, el malware también instala software para “secuestro de proxy”, término utilizado para enrutar subrepticiamente el tráfico a través de la máquina infectada de modo que no se revele el verdadero origen de los datos.
Los investigadores continuaron:
Al extrapolar datos como el número de servidores Linux conectados a Internet a través de diversos servicios y aplicaciones, monitoreados por servicios como Shodan y Censys, los investigadores estiman que el número de máquinas infectadas por Perfctl se mide en miles. Dicen que el grupo de máquinas vulnerables, es decir, aquellas que aún no han instalado el parche para CVE-2023-33426 o contienen una configuración errónea vulnerable, es de millones. Los investigadores aún no han medido la cantidad de criptomonedas que han generado los mineros maliciosos.
Las personas que quieran determinar si su dispositivo ha sido atacado o infectado por Perfctl deben buscar los indicadores de compromiso incluidos en publicación del jueves. También deben estar atentos a picos inusuales en el uso de la CPU o ralentizaciones repentinas del sistema, especialmente si ocurren durante períodos de inactividad. El informe del jueves también proporciona medidas para prevenir infecciones en primer lugar.
MundoDaily – #malware #sigiloso #infectado #miles #sistemas #Linux #durante #años
Publish: 2024-10-05 09:30:00