Apenas me dei conta do malware porque o meu sistema de monitoramento alertou para a utilização de 100% da CPU”, escreveu o administrador em um post de abril de 2023. “No entanto, o processo parava imediatamente quando eu entrava via SSH ou console. Assim que saía, o malware voltava a rodar em questão de segundos ou minutos.” O administrador continuou:
“Tentei remover o malware seguindo os passos descritos em outros fóruns, mas sem sucesso. O malware sempre consegue reiniciar assim que eu saio. Também procurei em todo o sistema pela string “perfcc” e encontrei os arquivos listados abaixo. No entanto, removê-los não resolveu o problema, pois ele continua ressurgindo a cada reinicialização.”
Outras discussões incluem: Reddit, Stack Overflow (em espanhol), forobeta, brainycp (em russo), natnetwork (em indonésio), Proxmox (em alemão), Camel2243 (em chinês), svrforum (em coreano), exabytes, virtualmin, serverfault e muitos outros.
Após explorar uma vulnerabilidade ou configuração inadequada, o código de exploração faz o download da carga principal de um servidor, que, na maioria dos casos, foi hackeado pelo atacante e convertido em um canal para distribuir o malware anonimamente. Um ataque direcionado ao honeypot dos pesquisadores nomeou a carga como httpd. Uma vez executado, o arquivo se copia da memória para um novo local no diretório /temp, o executa e em seguida encerra o processo original e exclui o binário baixado.
Ao ser movido para o diretório /tmp, o arquivo é executado sob um nome diferente, que imita o nome de um processo Linux conhecido. O arquivo hospedado no honeypot foi nomeado de sh. A partir daí, o arquivo estabelece um processo de comando e controle local e tenta obter direitos de sistema root explorando a CVE-2021-4043, uma vulnerabilidade de escalonamento de privilégios corrigida em 2021 no Gpac, um framework multimídia de código aberto amplamente utilizado.
O malware continua se copiando da memória para alguns outros locais no disco, novamente usando nomes que parecem arquivos do sistema comum. Em seguida, o malware instala um rootkit, uma série de utilitários Linux populares que foram modificados para funcionar como rootkits, e o minerador. Em alguns casos, o malware também instala um software para “proxy-jacking”, termo usado para rotear o tráfego de forma dissimulada através da máquina infectada para que a verdadeira origem dos dados não seja revelada.
