Tausende Linux-Systeme von "Stealth-Malware" infiziert

4. Oktober 2024 um 11:53
  • security
  • malware
  • perfectl
image
Illustration: Elchinator / Pixabay

"Perfectl" tarnt sich und seine Aktivitäten und könnte Millionen weitere Computer gefährden.

Laut einem Bericht des Security-Anbieters Aqua Security hat eine raffinierte Malware, die wahrscheinlich schon drei bis vier Jahre im Umlauf ist, tausende Linux-Systeme infiziert. Das Forschungsteam von Aqua nennt die Malware Perfectl.
Diese Malware ist laut dem Team bemerkenswert, weil sie eine Vielzahl von Mechanismen nutze, um sowohl sich selbst als auch seine Aktivitäten zu tarnen. Zudem könne Perfectl sowohl Lösch- als auch Reboots überstehen. Und weil die Malware über 20'000 verschiedene bekannte Sicherheitslücken oder Misskonfigurationen nutze, um Systeme zu infizieren, seien potentiell Millionen von über das Internet erreichbaren Linux-Maschinen gefährdet.

Ausgeklügelte Tarnmassnahmen

Zu den Tarnmechanismen von Perfectl gehört unter anderem, dass das Installationsfile nach der Installation gelöscht wird. Danach läuft die Malware als Hintergrundservice. Einige der Komponenten werden als Rootkits installiert, sodass sie vom Betriebssystem und von Security-Software nicht erkannt werden. Zudem verwendet Perfectl Filenamen, die gleich sind, wie die Filenamen, die man in Linux-Systemen normalerweise findet, kommuniziert via Tor und stoppt auffällige Aktivitäten, sobald sich ein neuer User anmeldet.
Zur Vielzahl der Aktivitäten, zu denen Perfectl fähig ist, gehört das Stehlen von Daten, das Nachladen weiterer Malware sowie Cryptomining.
Um Löschversuche zu überleben, manipuliert Perfectl unter anderem die Umgebung so, dass sie selbst geladen wird, bevor ein legitimer Workload startet. Eine weitere Überlebenstechnik ist es, sich aus dem Memory auf mehrere wechselnde Positionen auf Harddisk zu kopieren.

Loading

Mehr zum Thema

image

Women in Cyber und SANS Institute wollen "Women in Cyber Talent Academy" gründen

Damit das Trainingsinstitut für Security-Quereinsteigerinnen im Herbst loslegen kann, müssen aber noch finanzielle Partner einsteigen.

publiziert am 5.2.2025
image

Report: Deepseek ist anfällig für Manipulationen

Eine Untersuchung von Cisco zeigt, dass beim Modell "Deepseek R1" die Leitplanken einfach umgangen werden können. Das ist aber auch bei anderen der Fall.

publiziert am 5.2.2025
image

Daten von Swissmem-Ausgleichskasse gestohlen

Die Ausgleichskasse des Verbandes der Schweizer Maschinen-, Elektro- und Metallindustrie wurde gehackt. Die Angreifer haben Server und Daten verschlüsselt.

publiziert am 4.2.2025
image

Kanton Zürich sucht Security-Expertise

Ein Expertenpool soll das Amt für Informatik bei der Umsetzung der Informations­sicherheitsrichtlinien unterstützen. Es geht um bis zu 7000 Arbeitstage.

publiziert am 4.2.2025