Threat Database Linux Malware Malware Symbiote

Malware Symbiote

Un malware Linux incredibilmente furtivo è stato scoperto dai ricercatori della sicurezza informatica. I primi campioni della minaccia, denominata Symbiote, risalgono a novembre 2021 con i suoi obiettivi previsti ritenuti istituti bancari o finanziari dell'America Latina. I dettagli su questo malware precedentemente sconosciuto sono stati rilasciati in un rapporto congiunto del team di BlackBerry Threat Research & Intelligence e del ricercatore di sicurezza di Inteze Joakim Kennedy.

Secondo le loro scoperte, Symbiote differisce in modo significativo dalle altre minacce malware Linux che tentano di compromettere i processi già in esecuzione. Tuttavia, Symbiote è progettato per agire come una libreria di oggetti condivisi (SO) caricata da tutti i processi in esecuzione tramite LD_PRELOAD. Una volta che è stata completamente stabilita sulla macchina compromessa, la minaccia è in grado di fornire funzionalità quasi a livello di rootkit. Per nascondere la sua presenza, Symbiote aggancia funzioni specifiche, come libc e libpcap .

Inoltre, agganciando la funzione di lettura libc , la minaccia può raccogliere le credenziali dal dispositivo infetto, mentre l'utilizzo del Linux Pluggable Authentication Module (PAM) consente di fornire funzioni di accesso remoto agli attori della minaccia. Per quanto riguarda il traffico sospetto generato dalla minaccia, esso viene mascherato dall'utilizzo dell'hooking BPF (Berkeley Packet Filter).

I ricercatori sono stati anche in grado di confermare che alcuni nomi di dominio associati a Symbiote sono stati progettati per impersonare banche brasiliane legittime. Inoltre, è stato appositamente creato un server collegato al malware per imitare la pagina della Polizia Federale del Brasile.

Tendenza

I più visti

Caricamento in corso...