Świat złośliwego oprogramowania jest pełen ciekawego kodu, który potrafi zadziwić swoim sposobem działania. Są przypadki, w których malware ukrywa się w systemie i stosuje wiele technik, aby pozostać niezauważonym, a działa tylko wtedy, kiedy użytkownik nie wykonuje jakichś działań na komputerze. Na dodatek replikuje się do różnych miejsc, a utworzone pliki mają nazwy podobne do systemowych. Do tego grona zalicza się stosunkowo nowy “przypadek” nazwany perfctl.
Perfctl to bardzo ciekawe złośliwe oprogramowanie, które potrafi ukradkiem zaatakować serwery i komputery oparte na Linuksie, a następnie stworzyć z nich koparkę kryptowalut lub zamienić je w serwery proxy.
![Mistrzowski malware do zadań specjalnych. Perfctl po cichu zmienia serwery z Linuksem w koparki kryptowalut [1]](https://bomega.pl/wp-content/uploads/2024/10/04_mistrzowski_malware_do_zadan_specjalnych_perfctl_po_cichu_zmienia_serwery_z_linuksem_w_koparki_kryptowalut_0.jpg)
Odkryto krytyczne zagrożenie na Linux, macOS i innych systemach. Nie masz drukarki? To nie musisz się przejmować
Sporo osób korzystających z dystrybucji opartych na jądrze Linux uważa, że są one wystarczająco bezpieczne, aby nie musieć się obawiać złośliwego oprogramowania. Prawdą jest, że system Windows zmaga się z dużo większą liczbą zagrożeń tego typu, ale Linux wcale nie jest od nich wolny. Świetnym przykładem jest tu perfctl, który przez długi czas pozostawał w ukryciu. Wiele osób na forach internetowych od kilku lat pisało o nieznanym zagrożeniu, które uruchamia na ich komputerach proces wydobywania kryptowalut. Malware zdawał się atakować głównie serwery, a jego działanie było naprawdę sprytne. Kiedy użytkownik zalogował się na serwer np. przez protokół SSH, złośliwe oprogramowanie kończyło swoje działanie, aby pozostać niezauważonym. W krótkim czasie po tym, kiedy dana osoba się od niego odłączyła, kopanie kryptowalut było wznawiane. Usunięcie plików, które zostały skojarzone z malwarem, nic nie dawało, ponieważ odradzał się on zaraz po zalogowaniu. Dziś wiemy o nim już dużo więcej.
![Mistrzowski malware do zadań specjalnych. Perfctl po cichu zmienia serwery z Linuksem w koparki kryptowalut [2]](https://bomega.pl/wp-content/uploads/2024/10/04_mistrzowski_malware_do_zadan_specjalnych_perfctl_po_cichu_zmienia_serwery_z_linuksem_w_koparki_kryptowalut_1.jpg)
0.0.0.0 Day – krytyczna luka w przeglądarkach na macOS i Linuksie, którą jedna z firm poznała 18 lat temu. Do dziś nic się nie zmieniło
Perfctl wykorzystuje różne luki w zabezpieczeniach oraz serwery, które zostały źle skonfigurowane. Kiedy już znajdzie się na urządzeniu z daną dystrybucją Linuksa, pierwotny plik binarny, z którego powstaje ten malware, zostaje usunięty, aby zatrzeć ślady. Nowy plik kopiowany jest do innej lokalizacji, proces zostaje zamknięty, a na jego miejsce otwiera się nowy o tej samej nazwie, która może przypominać systemowy program. Malware stara się wykorzystać exploit CVE-2021-4043 znany jako PwnKit, aby podnieść swoje uprawnienia do rangi administratora (czyli tzw. roota). W międzyczasie kopiuje się do kilku innych lokalizacji na nośniku danych, co zapewnia mu sporą trwałość, a także wprowadza rootkity, aby ukryć swoją obecność. Modyfikuje też kilka popularnych narzędzi systemowych, takich jak ldd, czy też lsof. Następnie przechodzi do instalacji programów do kopania kryptowalut, a często wykorzystuje też komputer ofiary jako serwer proxy. Tak jak już wspomniano, potrafi się on bardzo dobrze maskować: kiedy tylko wykryje, że użytkownik podejmuje się jakichś działań, od razu wycisza swoje podejrzane operacje i całą aktywność. Na dodatek malware modyfikuje plik .profile, który jest uruchamiany podczas logowania, aby wznowić swoją działalność tuż po zalogowaniu. Do komunikacji wewnętrznej używa gniazda Unix, a do zewnętrznej – sieci TOR. Wyróżnia się więc niezwykłą elastycznością i trudnością w wykryciu, a metody jego działania są bardzo wyrafinowane (można wspomnieć, że zostawia on za sobą otwarte tylne drzwi, czyli tzw. backdoora, aby w razie potrzeby wprowadzić więcej szkodliwego kodu). Jeżeli chcemy zapoznać się z obszernym artykułem na ten temat, warto odwiedzić tę stronę internetową. Trzeba podkreślić, że perfctl wykorzystuje się głównie do ataków serwerowych, ale nie można wykluczyć, że cyberprzestępcy nie korzystali z niego do infekowania komputerów osobistych.
![Mistrzowski malware do zadań specjalnych. Perfctl po cichu zmienia serwery z Linuksem w koparki kryptowalut [3]](https://bomega.pl/wp-content/uploads/2024/10/04_mistrzowski_malware_do_zadan_specjalnych_perfctl_po_cichu_zmienia_serwery_z_linuksem_w_koparki_kryptowalut_2.jpg)
Źródło: Aqua Security
Zgłoś naruszenie/Błąd
Pozytywnie
Neutralnie 
Negatywnie
Lubię to!
Super
Ekscytujący 
Ciekawy
Smieszny
Smutny
Wściekły
Przerażony
Szokujący
Wzruszający
Rozczarowany
Zaskoczony
Prawda
Manipulacja
Fake news
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS