Symbiote Malware

اكتشف باحثو الأمن السيبراني برنامجًا خبيثًا خفيًا بشكل لا يصدق على نظام Linux. تعود أقدم عينات التهديد ، المسمى Symbiote ، إلى نوفمبر 2021 مع أهدافها المقصودة التي يُعتقد أنها مؤسسات مصرفية أو مالية من أمريكا اللاتينية. تم نشر تفاصيل حول هذه البرامج الضارة غير المعروفة سابقًا في تقرير مشترك أعده فريق BlackBerry Threat Research & Intelligence والباحث الأمني في Inteze Joakim Kennedy.

وفقًا للنتائج التي توصلوا إليها ، يختلف Symbiote اختلافًا كبيرًا عن تهديدات البرامج الضارة الأخرى في Linux التي تحاول اختراق العمليات الجارية بالفعل. ومع ذلك ، تم تصميم Symbiote للعمل كمكتبة كائن مشترك (SO) يتم تحميل جميع العمليات الجارية عبر LD_PRELOAD. بمجرد أن يتم تثبيته بالكامل على الجهاز المخترق ، يصبح التهديد قادرًا على توفير وظائف على مستوى الجذور الخفية تقريبًا. لإخفاء وجوده ، يربط Symbiote وظائف معينة ، مثل libc و libpcap .

علاوة على ذلك ، من خلال ربط وظيفة قراءة libc ، يمكن للتهديد أن يحصد بيانات الاعتماد من الجهاز المصاب ، بينما يسمح استخدام وحدة المصادقة القابلة للتوصيل في Linux (PAM) بمنح وظائف الوصول عن بُعد لممثلي التهديد. أما بالنسبة لحركة المرور المشبوهة الناتجة عن التهديد ، فهي مقنعة من خلال استخدام BPF (Berkeley Packet Filter).

تمكن الباحثون أيضًا من تأكيد أن أسماء نطاقات معينة مرتبطة بـ Symbiote تم تصميمها لانتحال شخصية البنوك البرازيلية الشرعية. بالإضافة إلى ذلك ، تم إنشاء خادم مرتبط بالبرامج الضارة عن قصد لتقليد صفحة الشرطة الفيدرالية في البرازيل.