24/Oct/2024
Migliaia di sistemi Linux infettati dal malware Perfctl dal 2021 

Migliaia di sistemi Linux infettati dal malware Perfctl dal 2021

minaccia che potrebbe rendere milioni di macchine connesse a Internet potenziali bersagli.  

 

Il malware, denominato Perfctl, può ad esempio sfruttare la vulnerabilità CVE-2023-33246, di gravità di 10 su 10,  che è stata corretta l’anno scorso in Apache RocketMQ, la piattaforma di messaggistica e streaming che si trova su molte macchine Linux. 

 

Una caratteristica distintiva di Perfctl è l’uso di nomi di processo e file identici o simili a quelli comunemente presenti negli ambienti Linux:  questo è solo uno dei tanti modi attraverso i quali il malware tenta di sfuggire all’attenzione degli utenti vittima; il malware si maschera ulteriormente installando molti dei suoi componenti come rootkit, una classe speciale di malware che nasconde la sua presenza al sistema operativo e agli strumenti amministrativi. 

 

Il malware è progettato per garantire la persistenza, ovvero la capacità di rimanere sulla macchina infetta dopo i riavvii o i tentativi di eliminare i componenti principali.  

 

Due di queste tecniche (utili da sapere per configurare opportunamente il proprio sistema di monitoraggio SOC) sono: 

  • la modifica dello script ~/.profile, che imposta l’ambiente durante l’accesso dell’utente in modo che il malware venga caricato prima dei carichi di lavoro legittimi previsti per l’esecuzione sul server 
  • la copia di sé stesso dalla memoria in più posizioni del disco, favorendo persistenza e consentendo alle attività dannose di continuare anche dopo che i payload primari sono stati rilevati e rimossi dai sistemi di protezione. 

 

Oltre a utilizzare le risorse della macchina per estrarre criptovaluta, è stato osservato che il malware funge da backdoor per installare altre famiglie di malware e quindi condurre altre tipologie di attacco. 

 

Massima attenzione quindi su macchine LINUX, un sistema operativo spesso considerato, sbagliando, inattaccabile. È fondamentale attivare un servizio di gestione delle vulnerabilità informatiche che periodicamente rilevi e rimedi a potenziali debolezze sfruttabili dagli attaccanti. 

«
»