Negli ultimi tre anni, il panorama della sicurezza informatica ha visto l’emergere di una minaccia particolarmente subdola: Perfctl. Questo malware ha infettato migliaia di server Linux, sfruttando oltre 20.000 errori di configurazione noti e una falla critica nella piattaforma Apache RocketMQ, con un punteggio di severità di 10 su 10. La ricerca condotta da Aqua Security ha messo in luce la complessità e la pericolosità di questo virus, rivelando dettagli allarmanti su come si installa e si nasconde. Perfctl si avvale di un arsenale di exploit per installarsi nei sistemi target.
Il malware utilizza nomi di file e processi che richiamano il gergo tipico di Linux, rendendosi difficile da individuare anche per gli utenti più esperti. Una delle sue strategie più insidiose è l’uso di rootkit, che lo rendono invisibile agli strumenti di amministrazione e al sistema operativo stesso. Non solo si mimetizza, ma interrompe anche tutte le attività evidenti al login dell’utente, comunicando attraverso socket Unix su rete TOR per sfuggire alla rilevazione.
Inoltre, Perfctl ha la capacità di cancellare i file di installazione e di funzionare come un processo in background, bloccando la visualizzazione dei messaggi di errore di sistema. Queste tecniche non solo proteggono il malware dalla scoperta, ma rendono anche complicata la sua rimozione.
Una delle caratteristiche più preoccupanti di Perfctl è la sua resistenza. Anche se un amministratore cerca di disattivarlo, il malware è progettato per riattivarsi automaticamente dopo un riavvio del sistema. Per garantire la sua persistenza, copia sé stesso in diverse posizioni sul disco di archiviazione, in modo da sopravvivere a tentativi di cancellazione manuale. Inoltre, il software installa ulteriori processi e attività secondarie, ampliando le possibilità di compromettere ulteriormente il sistema.
Perfctl non è solo un malware di tipo stealth; funge anche da crypto miner. Quando non ci sono utenti attivi sul sistema, inizia a estrarre criptovalute, causando un significativo impiego delle risorse hardware e della banda. Questa attività non autorizzata può portare a un degrado delle prestazioni del server infetto, danneggiando potenzialmente l’infrastruttura di rete. In aggiunta, Perfctl è progettato come una backdoor, permettendo l’installazione di software non autorizzati. Questa capacità di fungere sia da miner che da backdoor aumenta notevolmente il rischio associato a questo malware, poiché può facilitare ulteriori attacchi o compromissioni della sicurezza.
Pur essendo conosciuto da tempo nelle comunità specializzate, non era stata effettuata un’indagine organica su Perfctl fino a questo momento. Per contrastare questa minaccia, gli esperti di Aqua Security consigliano di mantenere il sistema aggiornato con le ultime patch di sicurezza. È fondamentale incrementare le restrizioni e il controllo degli accessi a file e risorse di sistema. Inoltre, è possibile rivolgersi a servizi professionali come quelli offerti da Aqua Security o utilizzare antivirus concorrenti in grado di rilevare e rimuovere correttamente la minaccia. Gli amministratori di sistema sono invitati a monitorare attivamente il loro ambiente e ad adottare pratiche di sicurezza informatica solide per ridurre al minimo il rischio di infezione.