Symbiote Malware

Výzkumníci v oblasti kybernetické bezpečnosti odhalili neuvěřitelně tajný linuxový malware. Nejstarší vzorky hrozby, pojmenované Symbiote, pocházejí z listopadu 2021 a jejími zamýšlenými cíli jsou pravděpodobně bankovní nebo finanční instituce z Latinské Ameriky. Podrobnosti o tomto dříve neznámém malwaru byly zveřejněny ve společné zprávě týmu BlackBerry Threat Research & Intelligence a bezpečnostního výzkumníka Inteze Joakima Kennedyho.

Podle jejich zjištění se Symbiote výrazně liší od ostatních linuxových malwarových hrozeb, které se snaží kompromitovat již běžící procesy. Symbiote je však navržen tak, aby fungoval jako knihovna sdílených objektů (SO), kterou všechny běžící procesy načítají přes LD_PRELOAD. Jakmile je hrozba plně zavedena na kompromitovaném počítači, je schopna poskytovat funkčnost téměř na úrovni rootkitu. Aby Symbiote skryl svou přítomnost, využívá specifické funkce, jako je libc a libpcap .

Kromě toho může hrozba připojením funkce čtení libc získávat přihlašovací údaje z infikovaného zařízení, zatímco použití modulu Linux Pluggable Authentication Module (PAM) jí umožňuje poskytovat funkce vzdáleného přístupu aktérům hrozby. Pokud jde o podezřelý provoz generovaný hrozbou, je maskován pomocí hákování BPF (Berkeley Packet Filter).

Výzkumníci také byli schopni potvrdit, že určitá doménová jména spojená se Symbiote byla navržena tak, aby se vydávala za legitimní brazilské banky. Kromě toho byl záměrně vytvořen server propojený s malwarem, aby napodobil stránku federální policie Brazílie.