Pesquisadores da Aqua Nautilus descobriram o perfctl, um malware que explora mais de 20.000 tipos de configurações incorretas em servidores Linux conectados à internet, com potencial para atingir milhões de sistemas globalmente. O malware usa técnicas avançadas, como rootkits, comunicação via TOR e elimina sua própria presença após execução.
Ele copia-se para diferentes locais no sistema com nomes que disfarçam sua presença, cria backdoors e explora vulnerabilidades, como a CVE-2021-4043, para aumentar privilégios. O malware é usado para minerar criptomoedas, causando sobrecarga de CPU e afetando o desempenho dos servidores.
O ataque começa com a exploração de vulnerabilidades ou configurações incorretas, baixando o payload principal, que oculta sua atividade, mantém persistência e resiste a detecções.
Para mais informações, veja o artigo original em AquaSec aqui.
Recomendação da CameIT:
Recomendamos que todas as empresas clientes mantenham seus servidores Linux atualizados, corrijam as vulnerabilidades conhecidas, desativem serviços não utilizados, e implementem controles rigorosos de acesso, como autenticação multifator. Além disso, monitore os sistemas em busca de atividade incomum e utilize soluções de proteção em tempo real para mitigar ataques de malware como o perfctl.
Posts relacionados
