Baca berita dengan sedikit iklan, klik di sini
TEMPO.CO, Jakarta - Ribuan komputer yang menjalankan Linux telah terinfeksi malware Perfctl, yaitu jenis malware yang terkenal karena sifatnya yang tersembunyi, jumlah kesalahan konfigurasi yang dapat dieksploitasinya, dan luasnya aktivitas jahat yang dapat dilakukannya, demikian laporan para peneliti pada akhir pekan lalu.
Baca berita dengan sedikit iklan, klik di sini
Assaf Morag, direktur intelijen ancaman Aqua Security, mengatakan malware Perfctl menonjol sebagai ancaman yang signifikan karena desainnya, yang memungkinkannya menghindari deteksi sambil mempertahankan persistensi pada sistem yang terinfeksi.
Baca berita dengan sedikit iklan, klik di sini
“Kombinasi ini menjadi tantangan bagi para pembuat sistem keamanan dan malware tersebut memang telah dikaitkan dengan semakin banyaknya laporan dan diskusi di berbagai forum, yang menyoroti tekanan dan frustrasi pengguna yang terinfeksi,” ujar Morag kepada Ars Technica, 4 Oktober 2024.
Perfctl menggunakan rootkit dan mengubah beberapa utilitas sistem untuk menyembunyikan aktivitas perangkat lunak cryptominer dan proxy-jacking. Perangkat lunak ini menyatu dengan mulus ke dalam lingkungannya dengan nama yang tampaknya sah.
Selain itu, arsitektur Perfctl memungkinkannya untuk melakukan berbagai aktivitas jahat, mulai dari pencurian data hingga penyebaran muatan tambahan. Fleksibilitasnya berarti bahwa perangkat lunak ini dapat dimanfaatkan untuk berbagai tujuan jahat, sehingga sangat berbahaya bagi organisasi dan individu.
Perfctl telah beredar setidaknya sejak tahun 2021. Malware tersebut terinstal dengan mengeksploitasi lebih dari 20.000 kesalahan konfigurasi umum, suatu kemampuan yang dapat menjadikan jutaan mesin yang terhubung ke Internet sebagai target potensial, kata para peneliti dari Aqua Security.
Malware tersebut juga dapat mengeksploitasi CVE-2023-33246, suatu kerentanan dengan peringkat keparahan 10 dari 10 yang telah ditambal tahun lalu di Apache RocketMQ, suatu platform pengiriman pesan dan streaming yang ditemukan di banyak mesin Linux.
Para peneliti menyebut malware Perfctl secara diam-diam menambang mata uang kripto. Namanya menggabungkan alat pemantauan perf Linux dan ctl, singkatan yang umum digunakan dengan alat baris perintah.
Karakteristik khas Perfctl adalah penggunaan nama proses dan berkas yang identik atau mirip dengan yang umum ditemukan di lingkungan Linux. Konvensi penamaan tersebut merupakan salah satu dari banyak cara malware tersebut berupaya untuk menghindari perhatian pengguna yang terinfeksi.
Perfctl selanjutnya menyamarkan dirinya sendiri menggunakan sejumlah trik lainnya. Salah satunya adalah menginstal banyak komponennya sebagai rootkit, kelas malware khusus yang menyembunyikan keberadaannya dari sistem operasi dan alat administratif.
Selain menggunakan sumber daya mesin untuk menambang mata uang kripto, Perfctl juga mengubah mesin menjadi proksi yang menghasilkan keuntungan yang digunakan pelanggan yang membayar untuk menyampaikan lalu lintas Internet mereka. Peneliti Aqua Security juga mengamati malware yang berfungsi sebagai pintu belakang untuk menginstal keluarga malware lainnya.
