Symbiote Malware

Egy hihetetlenül lopakodó Linux kártevőt fedeztek fel kiberbiztonsági kutatók. A Symbiote névre keresztelt fenyegetés legkorábbi mintái 2021 novemberéből származnak, és feltételezhetően latin-amerikai bankok vagy pénzintézetek voltak a célpontjai. Erről a korábban ismeretlen kártevőről a BlackBerry Threat Research & Intelligence csapata és az Inteze biztonsági kutatója, Joakim Kennedy közös jelentésében közölték a részleteket.

Eredményeik szerint a Symbiote jelentősen eltér a többi Linux-malware fenyegetéstől, amelyek a már futó folyamatokat próbálják veszélyeztetni. A Symbiote azonban megosztott objektum (SO) könyvtárként működik, amelyet minden futó folyamat betölt az LD_PRELOAD-on keresztül. Ha a fenyegetés teljesen megtörtént a kompromittált gépen, szinte rootkit szintű funkcionalitást képes biztosítani. Jelenlétének elrejtése érdekében a Symbiote meghatározott funkciókat vesz igénybe, például a libc -t és a libpcap -t.

Ezenkívül a libc olvasási funkciójának bekapcsolásával a fenyegetés hitelesítő adatokat gyűjthet be a fertőzött eszközről, míg a Linux Pluggable Authentication Module (PAM) segítségével távoli hozzáférési funkciókat biztosíthat a fenyegetés szereplőinek. Ami a fenyegetés által generált gyanús forgalmat illeti, azt a BPF (Berkeley Packet Filter) hooking használatával takarják el.

A kutatók azt is meg tudták erősíteni, hogy bizonyos, a Symbiote-hoz társított domain neveket legitim brazil bankok megszemélyesítésére tervezték. Emellett szándékosan hoztak létre egy, a kártevőhöz kapcsolódó szervert, hogy utánozzák a brazil szövetségi rendőrség oldalát.