Pembahasan lainnya antara lain: Reddit, Stack Overflow (Spanyol), forobeta (Spanyol), brainycp (Rusia), natnetwork (Indonesia), Proxmox (Jerman), Camel2243 (China), svrforum (Korea), exabytes, virtualmin, serverfault dan masih banyak lainnya .
Setelah mengeksploitasi kerentanan atau kesalahan konfigurasi, kode eksploitasi mengunduh muatan utama dari server, yang, dalam banyak kasus, telah diretas oleh penyerang dan diubah menjadi saluran untuk mendistribusikan malware secara anonim. Serangan yang menargetkan honeypot milik peneliti diberi nama payload httpd. Setelah dieksekusi, file akan menyalin dirinya sendiri dari memori ke lokasi baru di direktori /temp, menjalankannya, lalu menghentikan proses asli dan menghapus biner yang diunduh.
Setelah dipindahkan ke direktori /tmp, file tersebut dijalankan dengan nama yang berbeda, yang meniru nama proses Linux yang dikenal. File yang dihosting di honeypot diberi nama sh. Dari sana, file tersebut menetapkan proses perintah dan kontrol lokal dan berupaya mendapatkan hak sistem root dengan mengeksploitasi CVE-2021-4043, kerentanan eskalasi hak istimewa yang ditambal pada tahun 2021 di Gpac, kerangka kerja multimedia sumber terbuka yang banyak digunakan.
Malware tersebut terus menyalin dirinya dari memori ke beberapa lokasi disk lainnya, sekali lagi menggunakan nama yang muncul sebagai file sistem rutin. Malware kemudian menjatuhkan rootkit, sejumlah utilitas Linux populer yang telah dimodifikasi untuk berfungsi sebagai rootkit, dan penambang. Dalam beberapa kasus, malware juga memasang perangkat lunak untuk “proxy-jacking,” istilah untuk merutekan lalu lintas secara diam-diam melalui mesin yang terinfeksi sehingga asal usul data yang sebenarnya tidak terungkap.
Para peneliti melanjutkan:
Dengan mengekstrapolasi data seperti jumlah server Linux yang terhubung ke internet di berbagai layanan dan aplikasi, seperti yang dilacak oleh layanan seperti Shodan dan Censys, para peneliti memperkirakan bahwa jumlah mesin yang terinfeksi Perfctl mencapai ribuan. Mereka mengatakan bahwa kumpulan mesin yang rentan—yaitu mesin yang belum menginstal patch untuk CVE-2023-33426 atau memiliki kesalahan konfigurasi yang rentan—berjumlah jutaan. Para peneliti belum mengukur jumlah mata uang kripto yang dihasilkan oleh para penambang jahat.
Orang yang ingin mengetahui apakah perangkat mereka telah ditargetkan atau terinfeksi oleh Perfctl harus mencari indikator kompromi yang disertakan dalam postingan hari Kamis. Mereka juga harus mewaspadai lonjakan penggunaan CPU yang tidak biasa atau perlambatan sistem yang tiba-tiba, terutama jika terjadi selama waktu idle. Laporan hari Kamis juga memberikan langkah-langkah untuk mencegah infeksi.
Cerita ini pertama kali muncul di Ars Teknika.