Desde 2021, miles de sistemas Linux han sido comprometidos por un malware conocido como Perfctl, caracterizado por su habilidad para permanecer instalado y oculto durante largos periodos, lo que lo convierte en un enemigo difícil de combatir. Esta cepa de malware ha aprovechado una serie de vulnerabilidades y configuraciones incorrectas, afectando a máquinas en todo el mundo.
Un malware difícil de detectar
Según los investigadores de Aqua Security, Perfctl ha estado circulando durante varios años, infectando máquinas al explotar más de 20.000 configuraciones comunes erróneas. Esto sugiere que millones de dispositivos conectados a Internet podrían ser objetivos potenciales. Además, Perfctl también aprovecha la vulnerabilidad CVE-2023-33246, un fallo de seguridad de 10/10 en severidad que fue parcheado en 2023 en Apache RocketMQ, una plataforma de mensajería y transmisión que se encuentra en numerosos sistemas Linux.
Una de las particularidades de Perfctl es su capacidad para evadir la detección, utilizando nombres de procesos y archivos que imitan aquellos comúnmente presentes en entornos Linux. Este truco, junto con otras técnicas de ocultación, como el uso de rootkits, impide que los administradores del sistema noten su presencia.
Cómo opera Perfctl
El malware realiza una serie de actividades maliciosas, entre las que se destacan:
- Detener procesos sospechosos cuando un usuario se conecta a la máquina.
- Comunicarse externamente a través de un socket Unix sobre la red TOR, lo que dificulta el rastreo de su actividad.
- Eliminar el binario de instalación una vez que se ejecuta, ejecutándose en segundo plano como servicio.
- Utilizar técnicas avanzadas de hooking en procesos como pcap_loop, lo que evita que herramientas administrativas detecten el tráfico malicioso.
- Manipular mensajes de error para evitar alertas visibles.
Además, Perfctl está diseñado para ser persistente, logrando reinstalarse incluso después de reinicios del sistema o intentos de eliminación. Modifica archivos clave del sistema, como ~/.profile, para asegurarse de que se cargue al iniciar sesión, además de duplicarse en diferentes ubicaciones del disco, todo con el fin de permanecer activo.
Minería de criptomonedas y más allá
El propósito inicial del malware Perfctl parece estar relacionado con la minería de criptomonedas, utilizando los recursos de la máquina infectada para generar ganancias a los atacantes. Sin embargo, Perfctl también convierte a los sistemas en proxies que alquila a terceros, quienes pueden redirigir su tráfico de Internet a través de los dispositivos infectados para ocultar su origen.
Más allá de esto, los investigadores de Aqua Security han observado que el malware también funciona como una puerta trasera para la instalación de otros tipos de malware, lo que amplía su capacidad de causar daños.
Un enemigo difícil de erradicar
Perfctl ha sido objeto de múltiples discusiones en foros y comunidades de administradores de sistemas, quienes han intentado sin éxito eliminarlo. Un caso en Reddit muestra a un administrador que detectó el malware gracias a una alerta por el 100% de uso del CPU. Sin embargo, cada vez que intentaba eliminarlo, Perfctl se reinstalaba al poco tiempo. Casos similares han sido reportados en sitios como Stack Overflow, Proxmox y otros foros internacionales.
El malware utiliza servidores comprometidos para descargar sus payloads principales, que se ejecutan y luego se eliminan para evitar ser detectados. Una vez instalado en el sistema, utiliza una serie de herramientas para asegurarse de que sigue ejecutándose, incluso tras la eliminación de algunos de sus componentes.
Medidas de prevención
Para proteger los sistemas de Linux contra Perfctl, los investigadores recomiendan instalar el parche para CVE-2023-33246 y corregir cualquier configuración incorrecta que pueda servir como puerta de entrada al malware. Además, es importante estar alerta ante signos como aumentos repentinos en el uso del CPU o ralentizaciones inesperadas del sistema, particularmente cuando la máquina está en reposo.
A medida que los expertos de seguridad siguen monitorizando la evolución de Perfctl, queda claro que este malware representa una amenaza significativa para los usuarios de Linux en todo el mundo. Los investigadores continúan trabajando para identificar nuevas variantes y métodos de ataque, con el fin de mitigar los riesgos y ayudar a las organizaciones a proteger sus sistemas.
En resumen, Perfctl es un malware diseñado para evadir la detección y mantenerse persistente en sistemas Linux, lo que lo convierte en una amenaza grave para los administradores de sistemas. Su capacidad para aprovechar múltiples configuraciones incorrectas y vulnerabilidades no parcheadas lo hace especialmente peligroso. Las organizaciones deben tomar medidas preventivas y estar vigilantes ante posibles infecciones para evitar las consecuencias de este malware, que va desde la minería de criptomonedas hasta la instalación de puertas traseras para ataques futuros.
vía: ARStechnica
