Zlonamerna programska oprema tri leta ždela v sistemih z Linuxom

Novi malware, ki se imenuje Perfctl, se je od leta 2021 skrival v več tisoč sistemih z nameščenim Linuxom. Perfctl izkorišča bodisi napačno konfigurirane sisteme, ki so zaradi tega ranljivost (našteli so kar 20.000 različnih napak v konfiguraciji) bodisi hudo ranljivost v platformi Apache RocketMQ (CVE-2023-33246). Slednjo so lani zakrpali, a neposodobljeni sistemi so seveda še vedno ranljivi.

Ena izmed funkcionalnosti Perfctl je nepooblaščeno rudarjenje kriptovalut, hkrati pa služi kot proxy, ki ga avtorji programa tržijo za plačljive uporabnike. Ime perfctl je namenoma zbrano tako, da je podobno legitimnim servisom v Linuxu, denimo nadzornemu orodju perf in oznaki ctl za orodja v terminalu. Perfctl se nato namesti kot sveženj rootkitov, s čimer se skuša skriti. Uporablja tudi nekaj drugih načinov prikrivanja svojega obstoja.

Nekateri protivirusni programi Perfectl prepoznajo, ne pa vsi. Za nameček je uporaba protivirusnih programov na Linuxu precej nestandardna, zato so se mnogi okužbe zavedli šele, ko so opazili stoodstotno obremenjenost procesorja in podobno.