Cose per cui vale la pena preoccuparsi: Perfctl, il malware che dal 2021 agisce nascosto su migliaia di server Linux
Ben lungi dall’essere una delle notizie che ci piace raccontare, quella a proposito di Perfctl vale la pena di essere narrata con attenzione, contrariamente agli altri inutili allarmismi di cui abbiamo recentemente parlato, e dei quali potevamo certamente fare a meno.
Perfctl è un malware che installa crypto miner all’interno dei server Linux infettati e che ha la caratteristica di nascondersi in maniera molto astuta all’interno dei sistemi, poiché si maschera con processi e nomi di file che sono identici o molto simili a quelli che normalmente abitano gli ambienti Linux.
A parlare dettagliatamente di Perfctl ci pensa ARSTechnica in questo articolo dove le caratteristiche di questo simpatico malware emergono nella loro interezza.
Molti dei componenti di Perfctl (che di fatto, come tutti i malware di questo tipo è in realtà un insieme di elementi software) installa molti dei suoi componenti come rootkit
, quindi malware che nascondono la loro presenza al sistema operativo e ai consueti strumenti amministrativi.
Ma non finisce qui, perché come racconta l’articolo i meccanismi con cui Perfctl si nasconde sono anche:
- L’interruzione delle attività facili da rilevare una volta che l’utente effettua l’accesso al sistema.
- L’utilizzo di un socket Unix su TOR (di cui abbiamo parlato) per le comunicazioni esterne.
- L’eliminazione del binario con cui si è installato dopo l’esecuzione e la sua esecuzione in background.
- La manipolazione del processo Linux
pcap_loop
tramite una tecnica nota come hooking per impedire agli strumenti di amministrazione di registrare il traffico dannoso. Da notare come lo scopo dipcap_loop
sia quello di catturare pacchetti di rete in tempo reale (utilizzando la libreria libpcap) mediante un loop continuo fino a un numero specifico di pacchetti o un’interruzione manuale. E chi usa ad esempiopcap_loop
? Esatto,tcpdump
, uno strumento che potrebbe essere usato per rilevare connessioni anomale, ma che quindi diventa in questo caso inefficace. - La soppressione degli errori
mesg
per evitare avvisi visibili durante l’esecuzione, quindi niente rilevazioni a terminale.
Carino, vero?
A tutto questo si aggiunge una particolare capacità di essere rieseguito, che ne fa sostanzialmente una bestia dura a morire.
La difficoltà di rilevazione è stata indicata in ogni caso come primo problema di questo malware, come racconta Bleeping Computer, sono numerosissimi gli utenti che si sono accorti del problema solo vedendo le CPU schizzare al 100%.
Sempre l’articolo di Bleeping Computer offre suggerimenti su come rilevare il malware, che non sono diversi dai consueti, ma che vale sempre la pena consultare, nel dubbio.
Altra cosa essenziale, tenere aggiornati i sistemi, visti i due 2 CVE (CVE-2023-33246 e CVE-2021-4043) che favoriscono l’installazione di questo malware.
Ma di questo non ci si dovrebbe preoccupare, perché tutti mantengono aggiornati i propri sistemi, corretto?
Raoul Scarazzini
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.