Symbiote Malware

En utrolig snigende Linux-malware er blevet afsløret af cybersikkerhedsforskere. De tidligste prøver af truslen, kaldet Symbiote, går tilbage til november 2021 med dets tilsigtede mål, der menes at være banker eller finansielle institutioner fra Latinamerika. Detaljer om denne hidtil ukendte malware blev frigivet i en fælles rapport fra BlackBerry Threat Research & Intelligence-teamet og Inteze-sikkerhedsforskeren Joakim Kennedy.

Ifølge deres resultater adskiller Symbiote sig væsentligt fra de andre Linux malware-trusler, der forsøger at kompromittere allerede kørende processer. Symbiote er dog designet til at fungere som et shared object (SO) bibliotek, som alle kørende processer indlæses via LD_PRELOAD. Når først den er fuldt etableret på den kompromitterede maskine, er truslen i stand til at levere næsten rootkit-funktionalitet. For at skjule sin tilstedeværelse kobler Symbiote specifikke funktioner, såsom libc og libpcap .

Ved at tilslutte libc -læsefunktionen kan truslen desuden høste legitimationsoplysninger fra den inficerede enhed, mens brugen af Linux Pluggable Authentication Module (PAM) giver den mulighed for at give fjernadgangsfunktioner til trusselsaktørerne. Hvad angår den mistænkelige trafik, der genereres af truslen, er den maskeret gennem brug af BPF (Berkeley Packet Filter) hooking.

Forskerne var også i stand til at bekræfte, at visse domænenavne forbundet med Symbiote var designet til at efterligne legitime brasilianske banker. Derudover blev en server knyttet til malwaren målrettet oprettet for at efterligne siden fra Brasiliens føderale politi.