Symbiote Malware

Els investigadors de ciberseguretat han descobert un programari maliciós Linux increïblement sigilós. Les primeres mostres de l'amenaça, anomenades Symbiote, es remunten al novembre de 2021 i es creu que els seus objectius són institucions bancàries o financeres d'Amèrica Llatina. Els detalls sobre aquest programari maliciós anteriorment desconegut es van publicar en un informe conjunt de l'equip de BlackBerry Threat Research & Intelligence i l'investigador de seguretat d'Inteze Joakim Kennedy.

Segons les seves conclusions, Symbiote difereix significativament de les altres amenaces de programari maliciós de Linux que intenten comprometre els processos que ja estan en execució. Tanmateix, Symbiote està dissenyat per actuar com una biblioteca d'objectes compartits (SO) que carreguen tots els processos en execució mitjançant LD_PRELOAD. Un cop s'ha establert completament a la màquina compromesa, l'amenaça és capaç de proporcionar una funcionalitat gairebé a nivell de rootkit. Per ocultar la seva presència, Symbiote connecta funcions específiques, com libc i libpcap .

A més, en connectar la funció de lectura libc , l'amenaça pot recollir credencials del dispositiu infectat, mentre que l'ús del mòdul d'autenticació connectable de Linux (PAM) li permet oferir funcions d'accés remot als actors de l'amenaça. Pel que fa al trànsit sospitós generat per l'amenaça, s'emmascara mitjançant l'ús de l'enganxament BPF (Berkeley Packet Filter).

Els investigadors també van poder confirmar que certs noms de domini associats amb Symbiote estaven dissenyats per suplantar la identitat de bancs brasilers legítims. A més, es va crear intencionadament un servidor vinculat al programari maliciós per imitar la pàgina de la Policia Federal del Brasil.