Κακόβουλο λογισμικό Symbiote

Ένα απίστευτα κρυφό κακόβουλο λογισμικό Linux αποκαλύφθηκε από ερευνητές στον τομέα της κυβερνοασφάλειας. Τα πρώτα δείγματα της απειλής, που ονομάστηκαν Symbiote, χρονολογούνται από τον Νοέμβριο του 2021 με επιδιωκόμενους στόχους που πιστεύεται ότι είναι τραπεζικά ή χρηματοπιστωτικά ιδρύματα από τη Λατινική Αμερική. Λεπτομέρειες σχετικά με αυτό το προηγουμένως άγνωστο κακόβουλο λογισμικό δημοσιεύθηκαν σε μια κοινή έκθεση από την ομάδα BlackBerry Threat Research & Intelligence και τον ερευνητή ασφαλείας της Inteze, Joakim Kennedy.

Σύμφωνα με τα ευρήματά τους, το Symbiote διαφέρει σημαντικά από τις άλλες απειλές κακόβουλου λογισμικού Linux που προσπαθούν να υπονομεύσουν τις ήδη εκτελούμενες διαδικασίες. Ωστόσο, το Symbiote έχει σχεδιαστεί για να λειτουργεί ως βιβλιοθήκη κοινόχρηστου αντικειμένου (SO) που φορτώνουν όλες οι εκτελούμενες διεργασίες μέσω LD_PRELOAD. Μόλις εδραιωθεί πλήρως στο μηχάνημα που έχει παραβιαστεί, η απειλή μπορεί να παρέχει λειτουργικότητα σχεδόν σε επίπεδο rootkit. Για να κρύψει την παρουσία του, το Symbiote αγκιστρώνει συγκεκριμένες λειτουργίες, όπως το libc και το libpcap .

Επιπλέον, συνδέοντας τη συνάρτηση ανάγνωσης libc , η απειλή μπορεί να συλλέξει διαπιστευτήρια από τη μολυσμένη συσκευή, ενώ η χρήση της μονάδας ελέγχου ταυτότητας Linux Pluggable (PAM) της επιτρέπει να παρέχει λειτουργίες απομακρυσμένης πρόσβασης στους παράγοντες απειλής. Όσον αφορά την ύποπτη κίνηση που δημιουργείται από την απειλή, αυτή καλύπτεται με τη χρήση αγκίστρωσης BPF (Berkeley Packet Filter).

Οι ερευνητές μπόρεσαν επίσης να επιβεβαιώσουν ότι ορισμένα ονόματα τομέα που σχετίζονται με τη Symbiote σχεδιάστηκαν για να υποδύονται νόμιμες τράπεζες της Βραζιλίας. Επιπλέον, ένας διακομιστής που συνδέεται με το κακόβουλο λογισμικό δημιουργήθηκε σκόπιμα για να μιμηθεί τη σελίδα της Ομοσπονδιακής Αστυνομίας της Βραζιλίας.