یک بدافزار پیچیده Perfctl به طور گسترده سرورهای لینوکس با تنظیمات نادرست را آلوده میکند. این موضوع برای مدت طولانی و به دلیل پنهانکاری خوب این بدافزار ناشناخته باقی مانده بود.
یک بدافزار که بهتازگی کشف شده، سرورهای لینوکس را هدف قرار داده است. به گزارش کارشناسان مشاوره امنیت سایبری Aqua Security، این برنامه با نام Perfctl احتمالاً از سال ۲۰۲۱ در حال انتشار بوده و سیستمهای لینوکس را آلوده میکند تا به طور مخفیانه بهعنوان سرور پروکسی و برای استخراج ارزهای دیجیتال مورد استفاده قرار گیرند. این بدافزار همچنین میتواند به عنوان بارگذار (Loader) برای دیگر برنامهها و به صورت ناخواسته عمل کند.
Perfctl احتمالاً تاکنون میلیونها سرور را مورد حمله قرار داده است.
کارشناسان این گزارش، Assaf Morag و Idan Revivo، تخمین میزنند که تعداد دستگاههایی که این بدافزار توانسته با موفقیت آنها را آلوده کند، به هزاران مورد میرسد.
Perfctl به دلیل حدود ۲۰۰۰۰ نوع مختلف از اشتباهات تنظیمات در سرورهای لینوکس است که میتوانند منجر به آسیبپذیری باشند. به گفته Morag و Revivo، امکان آلوده شدن سیستمها به این بدافزار با اتصال سرور به اینترنت وجود دارد.
این بدافزار از سرورها برای استخراج ارزهای دیجیتال استفاده میکند.
در تمامی موارد شناختهشده، این بدافزار یک برنامه استخراج ارز دیجیتال را اجرا کرده است. در برخی موارد، همچنین از یک نرمافزار Proxy-Jacking نیز استفاده شده است.
در گزارش آمده که در حین انجام آزمایشهای Sandbox توسط دو تحلیلگر، آنها مشاهده کردند که این بدافزار در پسزمینه برنامههای دیگری را نیز نصب میکند تا به طور مخفیانه روند فعالیتها را زیر نظر بگیرد.
این بدافزار بهخوبی پنهان شده و به شکلی سرسختانه روی دستگاههای هدف باقی میماند. Aqua Security توانسته مجموعهای از تاکتیکهای مورد استفاده این بدافزار را کشف کند. به عنوان مثال، Perfctl از Rootkits استفاده میکند تا حضور خود را پنهان کند. هرگاه یک کاربر جدید وارد سیستم شود، بدافزار بلافاصله تمامی فعالیتهای مشکوک را متوقف میکند و با خروج کاربر، این فعالیتها دوباره از سر گرفته میشوند.
