Un malware altamente sofisticado ha
estado infectando miles de máquinas que operan con Linux desde al menos 2021,
según un informe reciente de Aqua Security. Este malware, conocido como
Perfctl, ha logrado mantenerse oculto mientras explota múltiples vulnerabilidades
y realiza una serie de actividades maliciosas. La gravedad de esta amenaza ha
encendido alarmas en la comunidad de ciberseguridad, ya que miles de sistemas
han sido comprometidos, y millones más podrían estar en riesgo.
Perfctl: Un malware sigiloso y
versátil
Perfctl se destaca por su capacidad
de infiltrarse en los sistemas Linux sin ser detectado. Según los
investigadores, uno de sus métodos principales de infección es la explotación
de más de 20,000 configuraciones incorrectas comunes en servidores conectados a
internet. Esto convierte a millones de sistemas en posibles víctimas de este
malware, que también es capaz de aprovechar la vulnerabilidad CVE-2023-33246 en
Apache RocketMQ, un popular software de mensajería y transmisión.
Una de las características más
notables de Perfctl es su capacidad para disfrazarse dentro del entorno Linux,
utilizando nombres de procesos y archivos que se asemejan a los legítimos. Esta
táctica permite que el malware opere de forma encubierta, eludiendo las
herramientas administrativas y de seguridad que los administradores de sistemas
suelen utilizar.
Técnicas avanzadas de evasión y
persistencia
El informe detalla cómo Perfctl
emplea técnicas avanzadas para asegurarse de que su presencia no sea detectada.
Entre ellas, destaca el uso de rootkits, un tipo de malware que se oculta
profundamente en el sistema, impidiendo que los antivirus y otras herramientas
de seguridad lo identifiquen. También se vale de un sistema de comunicación
externo a través de la red TOR, lo que le permite operar de manera anónima y
segura, complicando aún más los esfuerzos de detección y eliminación.
Otro truco del que se vale Perfctl es
detener sus actividades visibles cuando detecta que un usuario ha iniciado
sesión. Una vez que el usuario cierra la sesión, el malware retoma sus
operaciones, como si nada hubiera sucedido. Esta capacidad lo convierte en una
amenaza aún más desafiante para los administradores de sistemas, quienes pueden
creer que han eliminado el problema solo para descubrir que vuelve a aparecer
tras reiniciar el sistema.
Perfctl también se asegura de que,
incluso tras reinicios o intentos de eliminar componentes clave, continúe
operando. Modifica archivos críticos del sistema, como el ~/.profile, para
asegurarse de que siempre se cargue antes que otros programas legítimos durante
el inicio de sesión.
Actividades maliciosas: minería de
criptomonedas y más
Uno de los usos principales de
Perfctl es la minería de criptomonedas, utilizando los recursos del sistema
infectado para generar ganancias para los atacantes. Sin embargo, esta no es su
única función. Los investigadores de Aqua Security han observado que el malware
convierte las máquinas infectadas en proxies que permiten a terceros pagar por
el uso de sus recursos para enmascarar el origen de sus actividades en línea.
Además, Perfctl puede servir como
puerta trasera para la instalación de otros tipos de malware, lo que amplía su
potencial destructivo y lo convierte en una amenaza polifacética. Este malware
tiene la capacidad de exfiltrar datos, es decir, robar información confidencial
de los sistemas infectados, lo que lo convierte en un riesgo grave tanto para
usuarios individuales como para organizaciones.
¿Por qué Windows no es el único
objetivo?
Aunque es común que los sistemas
Windows sean los principales objetivos de ataques de malware, Perfctl demuestra
que los sistemas Linux no están exentos de ser atacados. En parte, esto se debe
a la popularidad de Linux en servidores y sistemas de infraestructura crítica,
lo que lo convierte en un objetivo lucrativo para los cibercriminales. A pesar
de su reputación de ser un sistema más seguro, los administradores deben estar
alertas ante estas amenazas emergentes.
Casos reales de infección
Los investigadores han detectado
múltiples informes en foros de desarrolladores y administradores de sistemas
que describen comportamientos consistentes con las infecciones de Perfctl. Un
administrador en Reddit, por ejemplo, describió cómo sus servidores fueron
infectados por un proceso de minería de criptomonedas que utilizaba el nombre
«perfcc». A pesar de sus esfuerzos por eliminar el malware, este
seguía reapareciendo después de cada reinicio.
Estas discusiones no son aisladas, y
Aqua Security ha encontrado informes similares en una variedad de foros y
plataformas, lo que subraya la magnitud del problema. Perfctl ha logrado
generar frustración y angustia entre los usuarios afectados, muchos de los
cuales no logran erradicar el malware por completo.
Cómo protegerse
Los usuarios y administradores que
deseen proteger sus sistemas deben prestar atención a las señales de compromiso
mencionadas por Aqua Security. Un síntoma común es un aumento inusual en el uso
de CPU, especialmente durante los períodos de inactividad del sistema. Otro
indicio es la ralentización repentina de los sistemas sin causa aparente.
Para prevenir infecciones, es crucial
aplicar el parche de seguridad para la vulnerabilidad CVE-2023-33246 y corregir
las configuraciones erróneas que el malware puede aprovechar. Los
investigadores también recomiendan revisar los logs del sistema en busca de
actividad sospechosa, como la aparición de nombres de procesos inusuales que
imitan utilidades legítimas de Linux.
Los 8 mejores antivirus y antimalware para Linux
Enfrentando a Perfctl
Perfctl se ha consolidado como una
amenaza persistente y difícil de detectar en el ecosistema Linux. Desde 2021,
ha infectado miles de sistemas y continúa explotando vulnerabilidades y errores
de configuración para expandirse. A medida que los cibercriminales perfeccionan
sus tácticas, los usuarios de Linux deben mantenerse vigilantes, asegurando que
sus sistemas estén debidamente parcheados y configurados.
No, Linux no necesita antivirus o firewall
Vaya… no sabia sobre este malware, gracias por compartir, me ayudara a estar prevenido.