Symbiote Malware
साइबर सुरक्षा शोधकर्ताओं द्वारा एक अविश्वसनीय रूप से चोरी-छिपे लिनक्स मैलवेयर का खुलासा किया गया है। खतरे के शुरुआती नमूने, जिसका नाम सिम्बायोट है, नवंबर 2021 के अपने लक्षित लक्ष्यों के साथ लैटिन अमेरिका से बैंकिंग या वित्तीय संस्थान माना जाता है। इस पूर्व अज्ञात मैलवेयर के बारे में विवरण ब्लैकबेरी थ्रेट रिसर्च एंड इंटेलिजेंस टीम और इंटेज़ सुरक्षा शोधकर्ता जोआकिम कैनेडी की एक संयुक्त रिपोर्ट में जारी किया गया था।
उनके निष्कर्षों के अनुसार, सिम्बायोट अन्य लिनक्स मैलवेयर खतरों से काफी अलग है जो पहले से चल रही प्रक्रियाओं से समझौता करने का प्रयास करते हैं। हालाँकि, Symbiote को एक साझा ऑब्जेक्ट (SO) लाइब्रेरी के रूप में कार्य करने के लिए डिज़ाइन किया गया है जो सभी चल रही प्रक्रियाएँ LD_PRELOAD के माध्यम से लोड होती हैं। एक बार जब यह समझौता मशीन पर पूरी तरह से स्थापित हो जाता है, तो खतरा लगभग रूटकिट-स्तरीय कार्यक्षमता प्रदान करने में सक्षम होता है। अपनी उपस्थिति को छिपाने के लिए, सिम्बायोट विशिष्ट कार्यों को हुक करता है, जैसे कि libc और libpcap ।
इसके अलावा, libc रीड फ़ंक्शन को हुक करके, खतरा संक्रमित डिवाइस से क्रेडेंशियल को काट सकता है, जबकि Linux प्लगेबल ऑथेंटिकेशन मॉड्यूल (PAM) का उपयोग करने से यह खतरे वाले अभिनेताओं को रिमोट एक्सेस फ़ंक्शन देने की अनुमति देता है। खतरे से उत्पन्न संदिग्ध यातायात के लिए, इसे बीपीएफ (बर्कले पैकेट फ़िल्टर) हुकिंग के उपयोग के माध्यम से छुपाया जाता है।
शोधकर्ता यह भी पुष्टि करने में सक्षम थे कि सिम्बायोट से जुड़े कुछ डोमेन नाम वैध ब्राजीलियाई बैंकों का प्रतिरूपण करने के लिए डिज़ाइन किए गए थे। इसके अलावा, मालवेयर से जुड़ा एक सर्वर ब्राजील की संघीय पुलिस के पेज की नकल करने के उद्देश्य से बनाया गया था।
