Dirección 

175 Greenwich St, New York, NY 10007

Un malware sigiloso ha infectado miles de sistemas Linux durante años

Un malware sigiloso ha infectado miles de sistemas Linux durante años – MundoDaily

Después de explotar una vulnerabilidad o una configuración incorrecta, el código de explotación descarga la carga útil principal de un servidor, que en la mayoría de los casos ha sido pirateado por el atacante y convertido en un canal para la distribución anónima del malware. Un ataque dirigido al honeypot de los investigadores llamado httpd payload. Una vez ejecutado, el archivo se copia de la memoria a una nueva ubicación en el directorio /temp, lo ejecuta y luego finaliza el proceso original y elimina el binario descargado.

Una vez movido al directorio /tmp, el archivo se ejecuta con un nombre diferente, que imita el nombre de un proceso conocido de Linux. El archivo alojado en el honeypot se llamó sh. A partir de ahí, el archivo establece un proceso de comando y control local e intenta obtener derechos del sistema raíz explotando CVE-2021-4043, una vulnerabilidad de escalada de privilegios que fue parcheada en 2021 en Gpac, un marco multimedia de código abierto ampliamente utilizado.

El malware continúa copiándose desde la memoria a otras ubicaciones del disco, una vez más utilizando nombres que aparecen como archivos de sistema de rutina. Luego, el malware coloca un rootkit, una serie de utilidades populares de Linux que han sido modificadas para que sirvan como rootkits, y el minero. En algunos casos, el malware también instala software para “secuestro de proxy”, término utilizado para enrutar subrepticiamente el tráfico a través de la máquina infectada de modo que no se revele el verdadero origen de los datos.

Los investigadores continuaron:

Como parte de su operación de comando y control, el malware abre un socket Unix, crea dos directorios en el directorio /tmp y almacena allí datos que influyen en su funcionamiento. Estos datos incluyen eventos del host, ubicaciones de copias de sí mismo, nombres de procesos, registros de comunicación, tokens e información de registro adicional. Además, el malware utiliza variables de entorno para almacenar datos que afectan aún más su ejecución y comportamiento.

Todos los archivos binarios se comprimen, eliminan y cifran, lo que indica esfuerzos significativos para eludir los mecanismos de defensa y evitar intentos de ingeniería inversa. El malware también utiliza técnicas de evasión avanzadas, como suspender su actividad al detectar un nuevo usuario en los archivos btmp o utmp y eliminar cualquier malware competidor para mantener el control sobre el sistema infectado.

Al extrapolar datos como el número de servidores Linux conectados a Internet a través de diversos servicios y aplicaciones, monitoreados por servicios como Shodan y Censys, los investigadores estiman que el número de máquinas infectadas por Perfctl se mide en miles. Dicen que el grupo de máquinas vulnerables, es decir, aquellas que aún no han instalado el parche para CVE-2023-33426 o contienen una configuración errónea vulnerable, es de millones. Los investigadores aún no han medido la cantidad de criptomonedas que han generado los mineros maliciosos.

Las personas que quieran determinar si su dispositivo ha sido atacado o infectado por Perfctl deben buscar los indicadores de compromiso incluidos en publicación del jueves. También deben estar atentos a picos inusuales en el uso de la CPU o ralentizaciones repentinas del sistema, especialmente si ocurren durante períodos de inactividad. El informe del jueves también proporciona medidas para prevenir infecciones en primer lugar.

MundoDaily – #malware #sigiloso #infectado #miles #sistemas #Linux #durante #años

Publish: 2024-10-05 09:30:00

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *