Teknoloji dünyasının en büyük dertlerinden biri olan virüsler ve zararlı yazılımlar, neredeyse her türden cihazı tehdit etmeye devam ediyor. Son olarak Aqua Nautilus araştırmacıları, "perfctl" adlı bir virüsü ortaya çıkardı. Virüsün üç yıldır aktif olduğu ortaya çıktı.
Araştırmacılara göre bu virüs, bugüne kadar milyonlarca Linux sunucuyu etkiledi ve muhtemelen binlercesinde de sorunlara neden oldu. Perfctl'in bugüne kadar bulunamamış olmasının nedeni olarak yüksek kaçınma defansı ve rootkitleri kullanması gösterildi. Konuyla ilgili olarak çok sayıda kurban raporu forumlarda ortaya çıktı.
Kripto madenlemeyi amaçlıyor
Aqua Nautilus'un açıklamasına göre bu virüsün asıl amacı kripto para madenciliği yapmak. Etkilenen sunucular üzerinden, takibi oldukça zor olan Monero adlı kripto parayı madenlemek isteyen kişilerin bu virüsü oluşturduğu düşünülüyor. Yine de virüsün sunuculara zarar vermek için de kullanılabildiği belirtiliyor.
Araştırmacılara göre saldırganlar, uyumsuz konfigürasyonları ve daha önceden ortaya çıkmış açıkları kullanarak Linux sunucularına girebiliyorlar. Konfigürasyonlardaki uyumsuzlukların nedeninin daha önce açığa çıkmış olan giriş bilgilerini barındıran, herkes tarafından erişilebilir dosyalar olabileceği belirtiliyor. Araştırmacılar ayrıca CVE-2023-33246 ve CVE-2021-4034 açıklarının da saldırganlar tarafından kullanılmış olduğunu belirtiyor.
Daha sonra bu virüs, klasörlerdeki dosyaların kopyalarını yaratmaya başlıyor ve böylece antivirüs taramalarından ya da temizliğinden korunabiliyor. Sonrasında da TOR üzerinden diğer madencilik yapmaya başlıyor. Bu virüsten korunmak için sürekli olarak inspect /tmp, /usr, and /root kontrolü yapılması, CPU kullanımının kontrol edilmesi, ~/.profile, ~/.bashrc, ve /etc/ld.so.preload dosyalarının incelenmesi, TOR tabanlı trafiklerin takibi ve bilinen virüsle bağlantılı IP adreslerinin yasaklanması tavsiye ediliyor.