Фахівці компанії Aqua попередили, що неправильно налаштовані та вразливі Linux-сервери вже три роки атакує шкідливий шкідник під назвою perfctl, основною метою якого є запуск криптомайнера і проксіджекінг (proxyjacking).

Дослідники пишуть, що perfctl добре ухиляється від виявлення і закріплюється в заражених системах. На їхню думку, шкідник активний уже кілька років і встиг атакувати мільйони Linux-серверів, заразивши кілька тисяч із них.

“Коли новий користувач заходить на сервер, perfctl негайно припиняє всю “галасливу” активність і залишається в сплячому режимі аж до повернення сервера до бездіяльності. Після виконання шкідник видаляє свій двійковий файл і продовжує тихо працювати у фоновому режимі, вже як служба”, – розповідають експерти.

Варто зазначити, що деякі аспекти цієї кампанії минулого місяця вже описувала компанія Cado Security, яка попереджала про кластер активності, націлений на доступні через інтернет установки Selenium Grid. Зокрема, було виявлено, що безфайлова шахрайство perfctl використовує вразливість у Polkit (CVE-2021-4043 або PwnKit) для підвищення привілеїв до рівня root і запуску майнера perfcc.

Під час запуску perfctl відкриває Unix-сокет для внутрішніх комунікацій і встановлює зашифрований канал зв’язку зі своїми керуючими серверами через Tor. Потім малварь запускає руткіт libgcwrap.so, який під’єднується до різних системних функцій для зміни механізмів автентифікації та перехоплення мережевого трафіку, що дає змогу уникати виявлення.

У деяких випадках фахівці спостерігали розгортання не тільки майнера, а й малварі для проксіджекінгу. Цей термін створено за аналогією з криптоджекінгом (cryptojacking), тобто атакою, під час якої хакери крадуть ресурси зламаних систем для видобутку криптовалюти. Однак проксіджекінг важче виявити, тому що він «краде» тільки невикористану смугу пропускання і не впливає на загальну стабільність і використання системи.

Операторам perfctl проксіджекінг приносить додатковий дохід, оскільки вони продають невикористану смугу пропускання зламаних машин через такі сервіси, як Bitping, Repocket, Speedshare тощо.

Оскільки позбутися perfctl може бути складно (адже шахрайство змінює і підміняє легітимні файли Linux), дослідники радять повністю стерти і перевстановити систему в разі виявлення зараження.