Perisian Hasad Symbiote

Satu perisian hasad Linux yang sangat tersembunyi telah ditemui oleh penyelidik keselamatan siber. Sampel terawal ancaman itu, dinamakan Symbiote, bermula sejak November 2021 dengan sasaran sasarannya dipercayai institusi perbankan atau kewangan dari Amerika Latin. Butiran mengenai perisian hasad yang tidak diketahui sebelum ini telah dikeluarkan dalam laporan bersama oleh pasukan Penyelidikan & Perisikan Ancaman BlackBerry dan penyelidik keselamatan Inteze Joakim Kennedy.

Menurut penemuan mereka, Symbiote berbeza dengan ketara daripada ancaman perisian hasad Linux lain yang cuba menjejaskan proses yang sudah berjalan. Walau bagaimanapun, Symbiote direka bentuk untuk bertindak sebagai pustaka objek kongsi (SO) yang semua proses yang dijalankan dimuatkan melalui LD_PRELOAD. Sebaik sahaja ia telah ditubuhkan sepenuhnya pada mesin yang terjejas, ancaman itu mampu menyediakan kefungsian hampir peringkat rootkit. Untuk menyembunyikan kehadirannya, Symbiote mengaitkan fungsi tertentu, seperti libc dan libpcap .

Tambahan pula, dengan mengaitkan fungsi baca libc , ancaman boleh memperoleh bukti kelayakan daripada peranti yang dijangkiti, manakala menggunakan Modul Pengesahan Boleh Palam Linux (PAM) membolehkannya memberikan fungsi capaian jauh kepada pelaku ancaman. Bagi trafik mencurigakan yang dijana oleh ancaman itu, ia disembunyikan melalui penggunaan pengait BPF (Berkeley Packet Filter).

Para penyelidik juga dapat mengesahkan bahawa nama domain tertentu yang dikaitkan dengan Symbiote telah direka untuk menyamar sebagai bank Brazil yang sah. Selain itu, pelayan yang dipautkan kepada perisian hasad sengaja dicipta untuk meniru halaman Polis Persekutuan Brazil.