محققان امنیت Aqua، در گزارشی گفتند: سرورها و workstationهای لینوکس با پیکربندی نادرست و آسیبپذیر هدف یک کمپین در حال انجام هستند که بدافزار مخفی موسوم به perfctl را با استفاده از چندین تکنیک پیچیده و با هدف اصلی اجرای ماینر رمز ارز و نرمافزار Proxyjacking توزیع میکند.
این بدافزار،هنگام ورود کاربر جدید به سرور، بلافاصله تمام فعالیتهای نویزدار را متوقف میکند و تا زمانی که سرور دوباره بیحرکت شود، خاموش میماند. پس از اجرا، با حذف باینری خود به اجرای بیصدا در پسزمینه به عنوان یک سرویس ادامه میدهد.
به طور خاص، بدافزار perfctl از آسیبپذیری CVE–2023–33246 که بر نسخههای 5.1.0 و بالاتر Apache RocketMQ تاثیر میگذارد و یک نقص امنیتی اجرای فرمان از راه دور در Polkit (CVE-2021-4043، با نام مستعار PwnKit) جهت ارتقا دسترسی برای روت کردن و دراپ ماینری به نام perfcc استفاده میکند.
https://www.bleepingcomputer.com/news/security/linux-malware-perfctl-behind-years-long-cryptomining-campaign/
https://thehackernews.com/2024/10/new-perfctl-malware-targets-linux.html
