Symbiote skadelig programvare

En utrolig snikende Linux-skadevare har blitt avdekket av cybersikkerhetsforskere. De tidligste prøvene av trusselen, kalt Symbiote, dateres tilbake til november 2021 med de tiltenkte målene som antas å være bank- eller finansinstitusjoner fra Latin-Amerika. Detaljer om denne tidligere ukjente skadevare ble utgitt i en felles rapport fra BlackBerry Threat Research & Intelligence-teamet og Inteze-sikkerhetsforskeren Joakim Kennedy.

Ifølge funnene deres, skiller Symbiote seg betydelig fra de andre Linux-malwaretruslene som prøver å kompromittere allerede kjørende prosesser. Symbiote er imidlertid designet for å fungere som et delt objektbibliotek (SO) som alle kjørende prosesser laster via LD_PRELOAD. Når den er fullstendig etablert på den kompromitterte maskinen, er trusselen i stand til å tilby funksjonalitet på nesten rootkit-nivå. For å skjule tilstedeværelsen kobler Symbiote spesifikke funksjoner, for eksempel libc og libpcap .

Videre, ved å koble til libc -lesefunksjonen, kan trusselen hente legitimasjon fra den infiserte enheten, mens bruk av Linux Pluggable Authentication Module (PAM) lar den gi fjerntilgangsfunksjoner til trusselaktørene. Når det gjelder den mistenkelige trafikken som genereres av trusselen, er den maskert gjennom bruk av BPF (Berkeley Packet Filter) hooking.

Forskerne var også i stand til å bekrefte at visse domenenavn assosiert med Symbiote ble designet for å etterligne legitime brasilianske banker. I tillegg ble en server koblet til skadelig programvare opprettet for å etterligne siden til det føderale politiet i Brasil.