Redazione RHC : 10 Ottobre 2024 07:16
Gli specialisti di Aqua hanno avvertito che da tre anni, i server Linux vulnerabili e configurati in modo errato vengono attaccati da un malware chiamato perfctl, il cui scopo principale è lanciare un cryptominer e un proxyjacking.
I ricercatori scrivono che perfctl è efficace nell’eludere il rilevamento e nel prendere piede nei sistemi infetti. Secondo loro, il malware è attivo da diversi anni ed è riuscito ad attaccare milioni di server Linux, infettandone diverse migliaia.
“Quando un nuovo utente accede al server, perfctl interrompe immediatamente tutte le attività rumorose e rimane in modalità di sospensione finché il server non ritorna in attività. Dopo l’esecuzione, il malware cancella il suo file binario e continua a funzionare silenziosamente in background, come servizio”, affermano gli esperti.
Distribuisci i nostri corsi di formazione diventando un nostro Affiliato
Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Vale la pena notare che alcuni aspetti di questa campagna sono già stati descritti il mese scorso da Cado Security, che ha avvertito di un gruppo di attività mirate alle installazioni Selenium Grid esposte su internet. In particolare, è stato scoperto che il malware fileless perfctl sfrutta una vulnerabilità in Polkit (CVE-2021-4043 o PwnKit) per aumentare i privilegi di root e avviare il minatore perfcc.
Il nome perfctl deriva dai tentativi del malware di eludere il rilevamento e di mescolarsi con processi di sistema legittimi. Perché perf è un riferimento a uno strumento di monitoraggio delle prestazioni di Linux e ctl è un suffisso spesso presente nei nomi di strumenti da riga di comando come systemctl, timedatectl e coniglimqctl.
A loro volta, gli esperti di Aqua ritengono che per hackerare i server Linux, gli aggressori utilizzano misconfiguration o exploit noti. I ricercatori hanno anche osservato lo sfruttamento del RCE CVE-2023-33246 in Apache RocketMQ e della già citata vulnerabilità CVE-2021-4034 (PwnKit) in Polkit.
Dopo aver ottenuto l’accesso iniziale al sistema, un payload compresso e offuscato chiamato httpd viene scaricato ed eseguito dal server dell’aggressore. Si copia nella directory /tmp con il nome sh, quindi elimina il file binario originale.
Al nuovo processo viene dato lo stesso nome (sh), cercando di integrarsi con le normali operazioni del sistema Linux. Copie aggiuntive vengono create in altre posizioni del sistema, ad esempio nelle directory /root/.config, /usr/bin/ e usr/lib. In questo modo gli aggressori sono assicurati contro la perdita di accesso in caso di rilevamento di malware.
Quando viene eseguito, perfctl apre un socket Unix per le comunicazioni interne e stabilisce un canale di comunicazione crittografato con i suoi server di comando e controllo tramite Tor. Il malware lancia quindi il rootkit libgcwrap.so, che si collega a varie funzioni del sistema per modificare i meccanismi di autenticazione e intercettare il traffico di rete, evitando così il rilevamento.
Nel sistema vengono inoltre installati rootkit aggiuntivi, che sostituiscono ldd, top, crontab e lsof con versioni dannose, che impediscono anche il rilevamento dell’attività malware. Successivamente sulla macchina viene finalmente avviato il minatore XMRIG, che estrae la criptovaluta Monero utilizzando le risorse del server infetto.
In alcuni casi gli esperti hanno osservato l’impiego non solo di un miner, ma anche di malware per il proxyjacking. Questo termine nasce per analogia con il cryptojacking, ovvero un attacco durante il quale gli hacker rubano le risorse dei sistemi hackerati per estrarre criptovaluta. Tuttavia, il proxyjacking è più difficile da rilevare perché ruba solo la larghezza di banda inutilizzata e non influisce sulla stabilità e sull’utilizzo complessivi del sistema.
RedazioneNel mese di aprile 2025, una valvola idraulica di una diga norvegese è stata forzatamente aperta da remoto per diverse ore, a seguito di un attacco informatico mirato. L’episodio, riportat...
Sul forum underground russo XSS è apparso un post che offre una “Collection di Lead Verificati Italia 2025” con oltre 1 milione di record. Questo tipo di inserzioni evidenzia la con...
Nel cuore dei conflitti contemporanei, accanto ai carri armati, ai droni e alle truppe, si combatte una guerra invisibile, silenziosa e spesso sottovalutata: la cyber war. Non è solo uno scenario...
Le autorità iberiche sono impegnate in un’indagine riguardante un pirata informatico che ha divulgato informazioni sensibili relative a funzionari pubblici e figure politiche di spicco. Tr...
Un insolito esempio di codice dannoso è stato scoperto in un ambiente informatico reale , che per la prima volta ha registrato un tentativo di attacco non ai classici meccanismi di difesa, ma dir...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
