Perfctl, virus "stealth" e resistente che infetta migliaia di server Linux da tre anni

Un malware molto subdolo e difficile da individuare infetta migliaia di computer basati su Linux da almeno il 2021, secondo una ricerca di Aqua Security. Si chiama Perfctl, ed è un software decisamente evoluto: per installarsi fa affidamento su un arsenale di exploit per oltre 20.000 dei più comuni e noti errori di configurazione del sistema operativo, oltre che per una falla gravissima (punteggio di severità 10 su 10, fatto piuttosto raro) della piattaforma di messaggistica e streaming Apache RocketMQ.

Gli sviluppatori di Perfctl, al momento del tutto ignoti, l’hanno anche reso molto “stealth”: tutti i nomi di file e processi che lo riguardano, a partire dallo stesso Perfctl, usano convenzioni e abbreviazioni chiaramente ispirati al gergo tipico di Linux, così da non destare sospetti a uno sguardo non troppo attento. Ma è solo la punta dell’iceberg: il malware installa la maggior parte dei suoi componenti come rootkit, per loro natura invisibili a OS e strumenti di amministrazione; interrompe tutte le attività e processi più evidenti non appena l’utente fa il login; usa socket Unix su rete TOR per comunicare via internet; cancella i suoi stessi file di installazione e gira come processo in background; blocca la visualizzazione dei messaggi di errore di sistema.

Il malware è anche molto resistente: riesce a riattivarsi in caso di disattivazione manuale e riavvio del sistema, e copia sé stesso dalla memoria a varie posizioni sul drive di archiviazione in modo tale da sopravvivere alla cancellazione manuale di file. E anche in caso di successo nell’eliminazione di alcuni componenti chiave, il software installa altre tipologie di processi e attività secondarie che possono continuare a esporre il sistema ad attività non autorizzate.

CLICCA QUI PER CONTINUARE A LEGGERE

.