Malware furtivo sem arquivo mira milhões de servidores Linux em ataque massivo
O malware furtivo ‘perfctl’ ataca servidores Linux globalmente, explorando vulnerabilidades para criptomineração, roubo de dados e proxyjacking, sendo altamente persistente e difícil de detectar.
Um dropper de malware enigmático e multipropósito, conhecido como ‘perfctl’ (ou ‘perfcc’), tem assombrado servidores Linux ao redor do mundo há anos, infectando milhares de sistemas com atividades maliciosas, como criptomineração e proxyjacking. Recentemente, uma nova análise revelou os mecanismos ocultos por trás deste malware, destacando a exploração de dezenas de milhares de vulnerabilidades e configurações incorretas, comprometendo uma vasta quantidade de servidores.
Alcance Global e Persistência
O malware tem causado perturbações em regiões como Estados Unidos, Rússia, Alemanha, Indonésia, Coreia, China, Espanha, e muitos outros países. Em fóruns e blogs, usuários têm relatado nos últimos anos que suas máquinas foram sobrecarregadas pelo ‘perfctl’, com muitos tentando remover o malware sem sucesso. Assaf Morag, pesquisador chefe da Aqua Nautilus, comentou: “Há uma abundância de artigos explicando como tentar matar o perfctl, mas as pessoas não conseguem eliminá-lo, pois ele é extremamente persistente e se esconde habilmente.”
O perfctl utiliza diversas vulnerabilidades e configurações incorretas para obter acesso inicial aos servidores Linux conectados à Internet, com potencial para infectar milhões de dispositivos. A Aqua Nautilus, em seu último relatório, indicou que o malware já comprometeu milhares de servidores. Com qualquer servidor Linux exposto à internet correndo risco, a ameaça do perfctl continua se expandindo globalmente.
Objetivos Além da Criptomineração
Embora o malware seja conhecido principalmente por atividades de criptomineração e proxyjacking, suas ambições parecem ir além dessas operações lucrativas. Morag relatou que o perfctl também utiliza ferramentas como o TruffleHog, que busca e rouba segredos codificados em código-fonte. Isso indica que o malware pode não só minerar criptomoedas como Monero, mas também vender segredos roubados no submundo cibernético, ampliando o impacto financeiro e estratégico de seus ataques.
Amplas Explorações de Vulnerabilidades
A pesquisa também revelou que o perfctl possui uma enorme capacidade de exploração de configurações errôneas e vulnerabilidades. Durante a análise, três servidores web foram identificados como pertencentes aos operadores da ameaça: dois deles comprometidos em ataques anteriores e um terceiro, aparentemente de propriedade do próprio agente da ameaça. Um desses servidores continha uma descoberta crucial — uma lista de quase 20.000 explorações possíveis, incluindo mais de 12.000 configurações incorretas conhecidas, quase 2.000 caminhos para roubar credenciais e chaves não autorizadas, e mais de 1.000 técnicas de login não autorizado. Aplicações como o Apache RocketMQ, frequentemente expostas, são um alvo frequente, com 68 diferentes vulnerabilidades associadas apenas a esse sistema.
Além disso, o malware também explora vulnerabilidades graves, como a CVE-2023-33246, que afeta o Apache RocketMQ e recebeu uma pontuação crítica de 9,8 no sistema CVSS. Esta vulnerabilidade, uma execução remota de comando (RCE), permite ao perfctl obter acesso inicial e comprometer ainda mais o sistema.
Técnicas de Evasão e Persistência
O perfctl é especialmente difícil de detectar devido à sua natureza furtiva. Enquanto programas de criptomineração e proxyjacking consomem vastos recursos do servidor, o próprio malware utiliza técnicas avançadas de stealth para esconder suas atividades. Ele se comunica de forma discreta por meio de backdoors via Tor e utiliza mascaramento de processos, replicando-se sob nomes de processos legítimos do sistema.
Além disso, após a execução inicial, o malware exclui seu próprio binário, mas permanece rodando como um serviço em segundo plano. Ele também emprega rootkits de nível de usuário e de kernel, que modificam funções do sistema para manipular o tráfego de rede, interceptar módulos de autenticação e garantir persistência mesmo após tentativas de remoção. Quando um administrador faz login no servidor comprometido, o perfctl interrompe suas atividades mais ruidosas, voltando a operar quando o servidor está novamente livre de supervisão.
Consequências e Mitigações
Morag descreve o perfctl como “uma ferramenta poderosa”, com a capacidade de apagar ou roubar dados, minerar criptomoedas, ou realizar proxyjacking, dependendo das intenções do invasor. Para se proteger contra o perfctl e outras ameaças sem arquivo, os pesquisadores recomendam ações imediatas, como:
- Corrigir vulnerabilidades: Aplique correções em todas as vulnerabilidades, especialmente aquelas voltadas para a Internet, como o Apache RocketMQ.
- Restringir execução de arquivos: Configure diretórios como
/tmpe/dev/shmcom a opção “noexec” para prevenir a execução de binários maliciosos. - Desabilitar serviços desnecessários: Interrompa serviços expostos desnecessariamente, especialmente servidores HTTP.
- Gerenciamento rigoroso de privilégios: Restringir o acesso root e implementar controle de acesso baseado em função (RBAC).
- Segmentação de rede: Isole servidores críticos e restrinja comunicações de saída, bloqueando tráfego TOR e pools de criptomineração.
- Proteção em tempo real: Utilize ferramentas avançadas de detecção que possam identificar rootkits e malware sem arquivo.
Com a complexidade e a persistência do perfctl, é essencial que administradores de servidores Linux estejam atentos a essa ameaça, atualizando continuamente suas defesas para mitigar o risco crescente que ele representa.
