Aqua Securitys Team Nautilus hat entdeckt, dass die Malware namens „Perfctl“ bereits seit 2021 im Umlauf ist und Linux-Server befällt, um diese dann heimlich als Proxy-Server für Kryptomining zu benutzen.
Die Malware hat in den letzten drei bis vier Jahren aktiv nach mehr als 20.000 Arten von Fehlkonfigurationen in Linux-Systemen gesucht und dabei bereits Millionen von Servern angegriffen. Die Zahl der Geräte, welche erfolgreich von der Malware befallen wurden, gehe laut Team Nautilus in die Tausende.
Das Schadprogramm kann auch als Loader für weitere unerwünschte Programme dienen. Die Chance, dass das eigene System befallen ist, bestehe im Grunde, sobald der Server mit dem Internet verbunden ist.
Das Ziel ist Kryptomining
In allen bekannten Fällen führte die Malware einen Kryptominer aus. In einigen Fällen wurde dem Bericht zufolge auch eine Proxy-Jacking-Software verwendet. Während Analysten Sandbox-Tests mit der Malware durchführten, machten sie die Beobachtung, dass die Malware im Hintergrund andere Programme installierte, um unbemerkt das Geschehen zu überwachen.
Die Malware tarnt sich durch ausgeklügelte Techniken
„Perfctl“ ist besonders schwer zu fassen und hartnäckig, da es mehrere ausgeklügelte Techniken einsetzt, wie beispielsweise Rootkits, um seine Präsenz zu verbergen. Wenn sich ein neuer Benutzer auf dem Server anmeldet, stoppt die Malware zudem sofort alle auffälligen Aktivitäten und bleibt so lange inaktiv, bis der Server wieder inaktiv ist. Für die interne Kommunikation nutzt das Schadprogramm Unix-Sockets während die externe Kommunikation über einen TOR-Server geleitet wird. Damit ist eine Nachverfolgung unmöglich. Nach der Ausführung löscht es seine Binärdatei und läuft im Hintergrund als Dienst weiter. Zudem kopiert es sich aus dem Speicher an verschiedene Stellen auf der Festplatte und verwendet dabei irreführende Namen.
(lb/Aqua Security)