Symbiote Malware
یک بدافزار فوقالعاده مخفی لینوکس توسط محققان امنیت سایبری کشف شده است. اولین نمونههای این تهدید، به نام سیمبیوت، به نوامبر 2021 بازمیگردد و اهداف مورد نظر آن بانکها یا مؤسسات مالی آمریکای لاتین هستند. جزئیات مربوط به این بدافزار ناشناخته در گزارشی مشترک توسط تیم تحقیقاتی و اطلاعاتی BlackBerry Threat و جواکیم کندی، محقق امنیتی Inteze منتشر شد.
بر اساس یافته های آنها، سیمبیوت به طور قابل توجهی با سایر تهدیدات بدافزار لینوکس که سعی در به خطر انداختن فرآیندهای در حال اجرا دارند، متفاوت است. با این حال، Symbiote طوری طراحی شده است که به عنوان یک کتابخانه اشیای مشترک (SO) عمل کند که تمام فرآیندهای در حال اجرا از طریق LD_PRELOAD بارگیری می شوند. هنگامی که تهدید به طور کامل بر روی دستگاه در معرض خطر قرار گرفت، میتواند عملکرد تقریباً در سطح روت کیت را ارائه دهد. برای پنهان کردن حضور خود، Symbiote توابع خاصی مانند libc و libpcap را قلاب می کند.
علاوه بر این، با اتصال تابع خواندن libc ، تهدید میتواند اعتبارنامهها را از دستگاه آلوده جمعآوری کند، در حالی که استفاده از ماژول تأیید اعتبار لینوکس Pluggable (PAM) به آن اجازه میدهد تا عملکردهای دسترسی از راه دور را به عوامل تهدید بدهد. در مورد ترافیک مشکوک ایجاد شده توسط تهدید، با استفاده از قلاب کردن BPF (فیلتر بسته برکلی) پوشانده می شود.
محققان همچنین توانستند تایید کنند که نامهای دامنه خاص مرتبط با سیمبیوت برای جعل هویت بانکهای برزیلی قانونی طراحی شدهاند. علاوه بر این، یک سرور مرتبط با بدافزار به طور هدفمند برای تقلید از صفحه پلیس فدرال برزیل ایجاد شد.