Migliaia di sistemi Linux infettati dal malware Perfctl dal 2021
minaccia che potrebbe rendere milioni di macchine connesse a Internet potenziali bersagli.
Il malware, denominato Perfctl, può ad esempio sfruttare la vulnerabilità CVE-2023-33246, di gravità di 10 su 10, che è stata corretta l’anno scorso in Apache RocketMQ, la piattaforma di messaggistica e streaming che si trova su molte macchine Linux.
Una caratteristica distintiva di Perfctl è l’uso di nomi di processo e file identici o simili a quelli comunemente presenti negli ambienti Linux: questo è solo uno dei tanti modi attraverso i quali il malware tenta di sfuggire all’attenzione degli utenti vittima; il malware si maschera ulteriormente installando molti dei suoi componenti come rootkit, una classe speciale di malware che nasconde la sua presenza al sistema operativo e agli strumenti amministrativi.
Il malware è progettato per garantire la persistenza, ovvero la capacità di rimanere sulla macchina infetta dopo i riavvii o i tentativi di eliminare i componenti principali.
Due di queste tecniche (utili da sapere per configurare opportunamente il proprio sistema di monitoraggio SOC) sono:
- la modifica dello script ~/.profile, che imposta l’ambiente durante l’accesso dell’utente in modo che il malware venga caricato prima dei carichi di lavoro legittimi previsti per l’esecuzione sul server
- la copia di sé stesso dalla memoria in più posizioni del disco, favorendo persistenza e consentendo alle attività dannose di continuare anche dopo che i payload primari sono stati rilevati e rimossi dai sistemi di protezione.
Oltre a utilizzare le risorse della macchina per estrarre criptovaluta, è stato osservato che il malware funge da backdoor per installare altre famiglie di malware e quindi condurre altre tipologie di attacco.
Massima attenzione quindi su macchine LINUX, un sistema operativo spesso considerato, sbagliando, inattaccabile. È fondamentale attivare un servizio di gestione delle vulnerabilità informatiche che periodicamente rilevi e rimedi a potenziali debolezze sfruttabili dagli attaccanti.