Desde 2021, pesquisadores detectaram uma campanha de malware que infectou milhares de sistemas Linux. O malware, chamado Perfctl, é notável por sua furtividade e capacidade de explorar mais de 20.000 configurações incorretas, além de uma vulnerabilidade crítica (CVE-2023-33246) no Apache RocketMQ, com pontuação de severidade 10/10. Esse malware pode atingir milhões de sistemas conectados à internet, explorando falhas de segurança comuns.
Perfctl se destaca por minerar criptomoedas secretamente e por usar nomes de processos e arquivos semelhantes aos legítimos em sistemas Linux, dificultando sua detecção. Ele também utiliza rootkits, que escondem sua presença do sistema operacional e das ferramentas administrativas. Outras técnicas incluem o uso de sockets Unix sobre TOR para comunicação externa e manipulação de processos para evitar a gravação de tráfego malicioso por ferramentas de administração.
Além de minerar criptomoedas, o malware transforma os sistemas infectados em proxies para tráfego de internet e serve como porta de entrada para outros malwares. Ele garante persistência ao modificar scripts de login e copiar a si mesmo para múltiplos locais no disco, tornando difícil sua remoção completa. Isso permite que ele continue ativo mesmo após tentativas de eliminação.
Pesquisadores notaram que o malware pode evitar detecção temporariamente quando um novo usuário faz login no sistema, reiniciando suas atividades assim que o usuário sai. Embora algumas ferramentas de antivírus já detectem o Perfctl, muitos administradores ainda relatam dificuldades em removê-lo, como discutido em fóruns de desenvolvedores e administradores de sistemas ainda hoje.
Para mitigar a ameaça, é recomendado aplicar patches, como o de CVE-2023-33246, e corrigir as configurações incorretas mencionadas. Outras medidas preventivas incluem monitorar o uso da CPU e o desempenho do sistema para detectar anomalias que possam indicar uma infecção por Perfctl. Apesar de tratar-se de uma vunerabilidade bem específica do Apache Rocket MQ nada impedi que sejam exploradas as mesmas vulnerabilidades para outras aplicações.
Sempre mantenha seu sistema atualizado!
.%20A%20smartphone%20is%20shown%20with%20a%20suspicious%20text%20message.webp)
Nenhum comentário:
Postar um comentário
Não é preciso ser criativo. Não é preciso ser técnico. Pode discordar. Pode concordar também. Só não vale ofender, xingar, usar o espaço para outro fim se não o de comentar o post. Agradeço antecipadamente por sua contribuição!