Symbiote zlonamjerni softver

Istraživači kibernetičke sigurnosti otkrili su nevjerojatno prikriveni Linux zlonamjerni softver. Najraniji uzorci prijetnje, nazvane Symbiote, datiraju iz studenog 2021., a njezine namjeravane mete za koje se vjeruje da su bankovne ili financijske institucije iz Latinske Amerike. Detalji o ovom dosad nepoznatom zlonamjernom softveru objavljeni su u zajedničkom izvješću tima BlackBerry Threat Research & Intelligence i istraživača sigurnosti Inteze Joakima Kennedyja.

Prema njihovim nalazima, Symbiote se značajno razlikuje od ostalih prijetnji zlonamjernog softvera u Linuxu koje pokušavaju ugroziti već pokrenute procese. Međutim, Symbiote je dizajniran da djeluje kao biblioteka zajedničkih objekata (SO) koju svi pokrenuti procesi učitavaju putem LD_PRELOAD. Nakon što je u potpunosti uspostavljena na kompromitiranom stroju, prijetnja je sposobna pružiti funkcionalnost gotovo na razini rootkita. Kako bi sakrio svoju prisutnost, Symbiote spaja određene funkcije, kao što su libc i libpcap .

Nadalje, spajanjem funkcije čitanja libc -a, prijetnja može prikupiti vjerodajnice sa zaraženog uređaja, dok joj korištenje Linux Pluggable Authentication Module (PAM) omogućuje davanje funkcija daljinskog pristupa akterima prijetnje. Što se tiče sumnjivog prometa generiranog prijetnjom, on je maskiran korištenjem BPF-a (Berkeley Packet Filter).

Istraživači su također uspjeli potvrditi da su određeni nazivi domena povezani sa Symbioteom dizajnirani da se lažno predstavljaju za legitimne brazilske banke. Osim toga, poslužitelj povezan sa zlonamjernim softverom namjerno je stvoren kako bi imitirao stranicu Federalne policije Brazila.