- Perfctl infiziert Linux-Maschinen durch die Ausnutzung von über 20.000 Fehlkonfigurationen. Seit 2021 wird die Schwachstelle CVE-2023-33426 in Apache RocketMQ genutzt. Perfctl tarnt seine Aktivitäten durch Rootkits und Dateinamen, die typischen Systemtools ähneln. Die Malware nutzt das TOR-Netzwerk für Kommunikation und verhindert Erkennung durch Hooking. Perfctl kann auch andere Malware installieren und Ressourcen zur Kryptowährungsgewinnung nutzen.
Eine großangelegte Angriffswelle hat Tausende von Linux-Maschinen mit einer Malware infiziert, die Fachleute durch ihre Raffinesse, die Vielzahl der ausnutzbaren Fehlkonfigurationen und eine breite Palette bösartiger Aktivitäten in Alarmbereitschaft versetzt. Seit mindestens 2021 treibt diese heimtückische Bedrohung ihr Unwesen im Netz, wie Sicherheitsforscher von Aqua Security berichten. Die Installation der Malware erfolgt häufig über die Ausnutzung von mehr als 20.000 häufigen Fehlkonfigurationen, was sie für Millionen von internetverbundenen Geräten potenziell gefährlich macht. Ferner nutzt die Malware die Schwachstelle CVE-2023-33426 aus, die in der Nachrichten- und Streamingplattform Apache RocketMQ zu finden ist und mittlerweile zwar gepatcht wurde, aber aufgrund ihrer gravierenden Auswirkungen immer noch ein beliebtes Angriffsziel darstellt.
Perfctl: Die stille Gefahr
Die Forscher haben diese Malware als “Perfctl” identifiziert, benannt nach ihrer Fähigkeit, schleichend Kryptowährung zu schürfen. Die Entwickler hinter Perfctl haben dem Prozess einen Namen gegeben, der den Eindruck eines legitimen Systemtools erweckt, indem er das “perf” Linux-Überwachungstool mit “ctl” kombiniert, einem Kürzel, das häufig in Befehlszeilentools verwendet wird. Eine der charakteristischen Täuschungen von Perfctl besteht darin, Dateinamen zu nutzen, die jenen ähneln, die in typischen Linux-Umgebungen vorkommen. Durch diese praktikable Tarnung bleibt die Malware oft unentdeckt. Zudem installiert sie viele ihrer Komponenten als sogenannte Rootkits, einer speziellen Art von Malware, die ihre Präsenz vor dem Betriebssystem und den Administrationswerkzeugen verbirgt.
Doch das ist nicht der einzige Trick dieser Bedrohung. Sie stoppt auffällige Aktivitäten, wenn ein neuer Nutzer sich anmeldet und nutzt das TOR-Netzwerk für externe Kommunikation. Die Malware löscht ihren Installationsbinary nach der Ausführung und agiert fortan als Hintergrunddienst. Durch eine raffinierte Methode, bekannt als Hooking, manipuliert sie den Prozess “pcap_loop”, um zu verhindern, dass administrative Tools den bösartigen Datenverkehr aufzeichnen können. Auch sorgt sie dafür, dass keine Fehlernachrichten während ihrer Operation auftreten, indem sie Meldungen unterdrückt.
Fiese Tricks und nachhaltige Infektion
Neben den schon genannten Täuschungsmechanismen sorgt Perfctl für eine dauerhafte Anwesenheit auf infizierten Rechnern – auch nach einem Neustart oder dem Versuch, Hauptkomponenten zu löschen. Zwei solcher Techniken umfassen die Modifikation des ~/.profile-Skripts sowie das Kopieren der Malware an verschiedene Speicherorte auf der Festplatte. Die Verwendung von pcap_loop sorgt zudem dafür, dass bösartige Aktivitäten auch dann fortgesetzt werden können, wenn primäre Bestandteile entdeckt und entfernt wurden. Neben der Ausnutzung von Rechenressourcen zur Kryptowährungsgewinnung nutzt Perfctl die Maschinen auch als Gewinn bringende Proxys für zahlende Kunden, die darüber ihren Internetverkehr umleiten lassen.
Experten beobachten zudem, dass Perfctl eine Hintertür bereitstellt, um andere Malware-Familien zu installieren. Bemerkenswert ist dabei die vielseitige Architektur der Malware: Sie dient nicht nur zur Krypto-Mining, sondern multiple Zwecke, darunter Datenexfiltration und zusätzliche Schadsoftware-Installationen. Dies macht es sowohl für Organisationen als auch für Einzelpersonen zu einer immens gefährlichen Bedrohung. Die Malware zeigt die Beständigkeit eines Phönix, entfacht immer wieder aufs Neue und stellt so eine ernste Herausforderung für Antivirenlösungen und Sicherheitsexperten dar, die gleichzeitig versuchen, die Ursprünge und Verbreitung zu bekämpfen.
