Per riuscire ad installarsi sui dispositivi in questione Perfctl utilizza un insieme di exploit per più di 20.000 dei noti errori di configurazione del sistema operativo. Inoltre, viene fatto riferimento anche ad una grave falla della piattaforma Apache RocketMQ.
Oltre ad essere molto pericoloso, il malware risulta anche, come anticipato, difficile da scovare. I suoi sviluppatori, ancora ignoti, hanno reso Perfctl “Stealth”. Cosa significa? Tutte le denominazioni che riguardano il malware utilizzano convenzioni e abbreviazioni che fanno riferimento direttamente al gergo utilizzato per i sistemi Linux. In questo modo, Perftctl non attira troppi sospetti e si insinua nei dispositivi coinvolti. A questo punto, il malware è in grado di installare diversi componenti come rootkit e strumenti di amministrazione
.Inoltre, il virus è in grado di interrompere tutti i processi più evidenti e a cancellare i propri file di installazione. A tal punto gira come processo in background ed è in grado di bloccare la visualizzazione dei messaggi di errore di sistema. Il malware che sta attaccando i dispositivi Linux risulta anche molto resistente. Ha la capacità di riattivarsi se viene disattivato manualmente e ogni volta che viene riavviato il sistema. Inoltre, è in grado di copiarsi da solo partendo dalla memoria per diramarsi all’interno del drive di archiviazione. In questo modo riesce a sopravvivere anche se vengono manualmente eliminati i file.
Perfctl agisce soprattutto quando gli utenti non sono attivi. In questo modo esegue l’estrazione di criptovalute. Per farlo utilizza risorse hardware e banda del dispositivo infetto. Nel frattempo, il malware installa sui computer Linux anche ulteriori software non autorizzati. I ricercatori di Aqua Security che hanno effettuato l’analisi consigliano di installare tutte le patch di sicurezza e di incrementare le restrizioni e gli accessi ai file di sistema. In questo modo gli utenti potranno cercare di difendersi dal virus.