Servidores Linux mal configurados e vulneráveis estão sendo alvo de uma campanha em andamento que distribui um malware furtivo conhecido como perfctl, com o objetivo principal de realizar mineração de criptomoedas e proxyjacking. O perfctl se destaca por ser particularmente elusivo e persistente, utilizando várias técnicas sofisticadas para evitar detecção. O malware interrompe todas as atividades “barulhentas” quando um novo usuário faz login no servidor, ficando inativo até que o sistema esteja novamente ocioso.

Após ser executado, o perfctl apaga seu próprio binário, continuando a operar silenciosamente em segundo plano como um serviço, evitando levantar suspeitas. Essa campanha também foi parcialmente revelada no mês passado pelos pesquisadores, que identificaram clusters de atividade focados em instâncias vulneráveis do Selenium Grid, onde o objetivo era implantar tanto mineradores de criptomoedas quanto software de proxyjacking.

A novidade no caso do perfctl é sua habilidade de explorar uma falha de segurança no Polkit (CVE-2021-4043, também conhecida como PwnKit), que permite elevar privilégios ao nível de root e, assim, instalar o minerador chamado perfcc. Para mitigar os riscos associados ao perfctl, é recomendado manter os sistemas e softwares sempre atualizados, restringir a execução de arquivos, desativar serviços não utilizados, segmentar a rede e implementar controle de acesso baseado em função (RBAC) para limitar o acesso a arquivos críticos.