Tausende Linux-Systeme von "Stealth-Malware" infiziert

4. Oktober 2024 um 11:53
  • security
  • malware
  • perfectl
image
Illustration: Elchinator / Pixabay

"Perfectl" tarnt sich und seine Aktivitäten und könnte Millionen weitere Computer gefährden.

Laut einem Bericht des Security-Anbieters Aqua Security hat eine raffinierte Malware, die wahrscheinlich schon drei bis vier Jahre im Umlauf ist, tausende Linux-Systeme infiziert. Das Forschungsteam von Aqua nennt die Malware Perfectl.
Diese Malware ist laut dem Team bemerkenswert, weil sie eine Vielzahl von Mechanismen nutze, um sowohl sich selbst als auch seine Aktivitäten zu tarnen. Zudem könne Perfectl sowohl Lösch- als auch Reboots überstehen. Und weil die Malware über 20'000 verschiedene bekannte Sicherheitslücken oder Misskonfigurationen nutze, um Systeme zu infizieren, seien potentiell Millionen von über das Internet erreichbaren Linux-Maschinen gefährdet.

Ausgeklügelte Tarnmassnahmen

Zu den Tarnmechanismen von Perfectl gehört unter anderem, dass das Installationsfile nach der Installation gelöscht wird. Danach läuft die Malware als Hintergrundservice. Einige der Komponenten werden als Rootkits installiert, sodass sie vom Betriebssystem und von Security-Software nicht erkannt werden. Zudem verwendet Perfectl Filenamen, die gleich sind, wie die Filenamen, die man in Linux-Systemen normalerweise findet, kommuniziert via Tor und stoppt auffällige Aktivitäten, sobald sich ein neuer User anmeldet.
Zur Vielzahl der Aktivitäten, zu denen Perfectl fähig ist, gehört das Stehlen von Daten, das Nachladen weiterer Malware sowie Cryptomining.
Um Löschversuche zu überleben, manipuliert Perfectl unter anderem die Umgebung so, dass sie selbst geladen wird, bevor ein legitimer Workload startet. Eine weitere Überlebenstechnik ist es, sich aus dem Memory auf mehrere wechselnde Positionen auf Harddisk zu kopieren.

Loading

Mehr zum Thema

image

Hacker verkaufen Daten von Temenos Quantum Fabric

In einem Hackerforum werden Daten von Temenos Quantum Fabric angeboten. Das Unternehmen sagt, es untersuche einen Cybersicherheitsvorfall.

publiziert am 4.11.2024
image

Medien-Login Onelog ist wieder in Betrieb

Zehn Tage nach einem Cyberangriff ist der Login-Dienst wieder online. Nutzende müssen ihre Passwörter ändern.

publiziert am 4.11.2024
image

Onelog "in den nächsten Tagen" wieder online

Bis dahin bleibt die Schweizer Login-Plattform für Medien aber offline.

publiziert am 1.11.2024
image

KI wird die Cyberabwehr fordern

Dank neuer Tools werden Cyberangriffe immer raffinierter. Eine Gefahr bleiben laut einer Check-Point-Prognose auch Ransomware-Attacken – insbesondere solche, die auf die Lieferketten abzielen.

publiziert am 1.11.2024