Linux Cihazlarda Yıllardır Kripto Madenleyen Bir Virüs Keşfedildi

Teknoloji dünyasının en büyük kederlerinden biri olan virüsler ve ziyanlı yazılımlar, neredeyse her tipten aygıtı tehdit etmeye devam ediyor. Son olarak Aqua Nautilus araştırmacıları, “perfctl” isimli bir virüsü ortaya çıkardı. Virüsün üç yıldır faal olduğu ortaya çıktı. 

Araştırmacılara nazaran bu virüs, bugüne kadar milyonlarca Linux sunucuyu etkiledi ve muhtemelen binlercesinde de meselelere neden oldu. Perfctl’in bugüne kadar bulunamamış olmasının nedeni olarak yüksek kaçınma defansı ve rootkitleri kullanması gösterildi. Hususla ilgili olarak çok sayıda kurban raporu forumlarda ortaya çıktı. 

Kripto madenlemeyi amaçlıyor

Aqua Nautilus’un açıklamasına nazaran bu virüsün asıl amacı kripto para madenciliği yapmak. Etkilenen sunucular üzerinden, takibi hayli sıkıntı olan Monero isimli kripto parayı madenlemek isteyen bireylerin bu virüsü oluşturduğu düşünülüyor. Tekrar de virüsün sunuculara ziyan vermek için de kullanılabildiği belirtiliyor.

Araştırmacılara nazaran saldırganlar, uyumsuz konfigürasyonları ve daha evvelden ortaya çıkmış açıkları kullanarak Linux sunucularına girebiliyorlar. Konfigürasyonlardaki uyumsuzlukların nedeninin daha evvel açığa çıkmış olan giriş bilgilerini barındıran, herkes tarafından erişilebilir belgeler olabileceği belirtiliyor. Araştırmacılar ayrıyeten CVE-2023-33246 ve CVE-2021-4034 açıklarının da saldırganlar tarafından kullanılmış olduğunu belirtiyor. 

Daha sonra bu virüs, klasörlerdeki belgelerin kopyalarını yaratmaya başlıyor ve böylelikle antivirüs taramalarından ya da temizliğinden korunabiliyor. Sonrasında da TOR üzerinden öteki madencilik yapmaya başlıyor. Bu virüsten korunmak için daima olarak inspect /tmp, /usr, and /root denetimi yapılması, CPU kullanımının denetim edilmesi, ~/.profile, ~/.bashrc, ve /etc/ld.so.preload belgelerinin incelenmesi, TOR tabanlı trafiklerin takibi ve bilinen virüsle irtibatlı IP adreslerinin yasaklanması tavsiye ediliyor.