Ben lungi dall’essere una delle notizie che ci piace raccontare, quella a proposito di Perfctl vale la pena di essere narrata con attenzione, contrariamente agli altri inutili allarmismi di cui abbiamo recentemente parlato, e dei quali potevamo certamente fare a meno.
Perfctl è un malware che installa crypto miner all’interno dei server Linux infettati e che ha la caratteristica di nascondersi in maniera molto astuta all’interno dei sistemi, poiché si maschera con processi e nomi di file che sono identici o molto simili a quelli che normalmente abitano gli ambienti Linux.
A parlare dettagliatamente di Perfctl ci pensa ARSTechnica in questo articolo dove le caratteristiche di questo simpatico malware emergono nella loro interezza.
Molti dei componenti di Perfctl (che di fatto, come tutti i malware di questo tipo è in realtà un insieme di elementi software) installa molti dei suoi componenti come rootkit, quindi malware che nascondono la loro presenza al sistema operativo e ai consueti strumenti amministrativi.
Ma non finisce qui, perché come racconta l’articolo i meccanismi con cui Perfctl si nasconde sono anche:
L’interruzione delle attività facili da rilevare una volta che l’utente effettua l’accesso al sistema.
L’utilizzo di un socket Unix su TOR (di cui abbiamo parlato) per le comunicazioni esterne.
L’eliminazione del binario con cui si è installato dopo l’esecuzione e la sua esecuzione in background.
La manipolazione del processo Linux pcap_loop tramite una tecnica nota come hooking per impedire agli strumenti di amministrazione di registrare il traffico dannoso. Da notare come lo scopo di pcap_loop sia quello di catturare pacchetti di rete in tempo reale (utilizzando la libreria libpcap) mediante un loop continuo fino a un numero specifico di pacchetti o un’interruzione manuale. E chi usa ad esempio pcap_loop? Esatto, tcpdump, uno strumento che potrebbe essere usato per rilevare connessioni anomale, ma che quindi diventa in questo caso inefficace.
La soppressione degli errori mesg per evitare avvisi visibili durante l’esecuzione, quindi niente rilevazioni a terminale.
Carino, vero?
A tutto questo si aggiunge una particolare capacità di essere rieseguito, che ne fa sostanzialmente una bestia dura a morire.
La difficoltà di rilevazione è stata indicata in ogni caso come primo problema di questo malware, come racconta Bleeping Computer, sono numerosissimi gli utenti che si sono accorti del problema solo vedendo le CPU schizzare al 100%.
Sempre l’articolo di Bleeping Computer offre suggerimenti su come rilevare il malware, che non sono diversi dai consueti, ma che vale sempre la pena consultare, nel dubbio.
Altra cosa essenziale, tenere aggiornati i sistemi, visti i due 2 CVE (CVE-2023-33246 e CVE-2021-4043) che favoriscono l’installazione di questo malware.
Ma di questo non ci si dovrebbe preoccupare, perché tutti mantengono aggiornati i propri sistemi, corretto?
Raoul Scarazzini
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità , HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Source: Read More