Threat Database Linux Malware Symbiote Malware

Symbiote Malware

תוכנה זדונית לינוקס חמקנית להפליא נחשפה על ידי חוקרי אבטחת סייבר. הדגימות המוקדמות ביותר של האיום, בשם Symbiote, מתוארכות לנובמבר 2021, כאשר המטרות המיועדות לה הן בנקאות או מוסדות פיננסיים מאמריקה הלטינית. פרטים על תוכנה זדונית שלא הייתה ידועה בעבר פורסמו בדוח משותף של צוות BlackBerry Threat Research & Intelligence וחוקר האבטחה של Inteze Joakim Kennedy.

לפי הממצאים שלהם, Symbiote שונה באופן משמעותי מאיומי תוכנות זדוניות אחרות של לינוקס שמנסות לסכן תהליכים שכבר פועלים. עם זאת, Symbiote נועד לפעול כספריית אובייקט משותף (SO) שכל התהליכים הפועלים נטענים באמצעות LD_PRELOAD. ברגע שהוא הוקם במלואו על המחשב שנפרץ, האיום מסוגל לספק פונקציונליות כמעט ברמת rootkit. כדי להסתיר את נוכחותו, Symbiote מחבר פונקציות ספציפיות, כגון libc ו- libpcap .

יתר על כן, על ידי חיבור פונקציית הקריאה של libc , האיום יכול לאסוף אישורים מהמכשיר הנגוע, בעוד ששימוש במודול האימות הניתן לחיבור של Linux (PAM) מאפשר לו לתת פונקציות גישה מרחוק לשחקני האיום. באשר לתעבורה החשודה שנוצרת על ידי האיום, היא מוסווה באמצעות שימוש ב-BPF (Berkeley Packet Filter) hooking.

החוקרים גם הצליחו לאשר ששמות דומיין מסוימים הקשורים ל-Symbiote נועדו להתחזות לבנקים ברזילאים לגיטימיים. בנוסף, שרת מקושר לתוכנה הזדונית נוצר בכוונה כדי לחקות את הדף של המשטרה הפדרלית של ברזיל.

מגמות

הכי נצפה

טוען...