Mistrzowski malware do zadań specjalnych. Perfctl po cichu zmienia serwery z Linuksem w koparki kryptowalut

Świat złośliwego oprogramowania jest pełen ciekawego kodu, który potrafi zadziwić swoim sposobem działania. Są przypadki, w których malware ukrywa się w systemie i stosuje wiele technik, aby pozostać niezauważonym, a działa tylko wtedy, kiedy użytkownik nie wykonuje jakichś działań na komputerze. Na dodatek replikuje się do różnych miejsc, a utworzone pliki mają nazwy podobne do systemowych. Do tego grona zalicza się stosunkowo nowy "przypadek" nazwany perfctl.

Perfctl to bardzo ciekawe złośliwe oprogramowanie, które potrafi ukradkiem zaatakować serwery i komputery oparte na Linuksie, a następnie stworzyć z nich koparkę kryptowalut lub zamienić je w serwery proxy.

Odkryto krytyczne zagrożenie na Linux, macOS i innych systemach. Nie masz drukarki? To nie musisz się przejmować

Sporo osób korzystających z dystrybucji opartych na jądrze Linux uważa, że są one wystarczająco bezpieczne, aby nie musieć się obawiać złośliwego oprogramowania. Prawdą jest, że system Windows zmaga się z dużo większą liczbą zagrożeń tego typu, ale Linux wcale nie jest od nich wolny. Świetnym przykładem jest tu perfctl, który przez długi czas pozostawał w ukryciu. Wiele osób na forach internetowych od kilku lat pisało o nieznanym zagrożeniu, które uruchamia na ich komputerach proces wydobywania kryptowalut. Malware zdawał się atakować głównie serwery, a jego działanie było naprawdę sprytne. Kiedy użytkownik zalogował się na serwer np. przez protokół SSH, złośliwe oprogramowanie kończyło swoje działanie, aby pozostać niezauważonym. W krótkim czasie po tym, kiedy dana osoba się od niego odłączyła, kopanie kryptowalut było wznawiane. Usunięcie plików, które zostały skojarzone z malwarem, nic nie dawało, ponieważ odradzał się on zaraz po zalogowaniu. Dziś wiemy o nim już dużo więcej.

0.0.0.0 Day - krytyczna luka w przeglądarkach na macOS i Linuksie, którą jedna z firm poznała 18 lat temu. Do dziś nic się nie zmieniło

Perfctl wykorzystuje różne luki w zabezpieczeniach oraz serwery, które zostały źle skonfigurowane. Kiedy już znajdzie się na urządzeniu z daną dystrybucją Linuksa, pierwotny plik binarny, z którego powstaje ten malware, zostaje usunięty, aby zatrzeć ślady. Nowy plik kopiowany jest do innej lokalizacji, proces zostaje zamknięty, a na jego miejsce otwiera się nowy o tej samej nazwie, która może przypominać systemowy program. Malware stara się wykorzystać exploit CVE-2021-4043 znany jako PwnKit, aby podnieść swoje uprawnienia do rangi administratora (czyli tzw. roota). W międzyczasie kopiuje się do kilku innych lokalizacji na nośniku danych, co zapewnia mu sporą trwałość, a także wprowadza rootkity, aby ukryć swoją obecność. Modyfikuje też kilka popularnych narzędzi systemowych, takich jak ldd, czy też lsof. Następnie przechodzi do instalacji programów do kopania kryptowalut, a często wykorzystuje też komputer ofiary jako serwer proxy. Tak jak już wspomniano, potrafi się on bardzo dobrze maskować: kiedy tylko wykryje, że użytkownik podejmuje się jakichś działań, od razu wycisza swoje podejrzane operacje i całą aktywność. Na  dodatek malware modyfikuje plik .profile, który jest uruchamiany podczas logowania, aby wznowić swoją działalność tuż po zalogowaniu. Do komunikacji wewnętrznej używa gniazda Unix, a do zewnętrznej - sieci TOR. Wyróżnia się więc niezwykłą elastycznością i trudnością w wykryciu, a metody jego działania są bardzo wyrafinowane (można wspomnieć, że zostawia on za sobą otwarte tylne drzwi, czyli tzw. backdoora, aby w razie potrzeby wprowadzić więcej szkodliwego kodu). Jeżeli chcemy zapoznać się z obszernym artykułem na ten temat, warto odwiedzić tę stronę internetową. Trzeba podkreślić, że perfctl wykorzystuje się głównie do ataków serwerowych, ale nie można wykluczyć, że cyberprzestępcy nie korzystali z niego do infekowania komputerów osobistych.