Symbiote मालवेयर
साइबरसुरक्षा अनुसन्धानकर्ताहरूले अविश्वसनीय रूपमा लुकेको लिनक्स मालवेयर पत्ता लगाएका छन्। Symbiote नामक खतराको सबैभन्दा प्रारम्भिक नमूनाहरू नोभेम्बर 2021 मा ल्याटिन अमेरिकाका बैंकिङ वा वित्तीय संस्थाहरू हुन् भनी विश्वास गरिएका लक्ष्यहरूको साथमा छन्। यसअघि अज्ञात मालवेयरको बारेमा विवरणहरू ब्ल्याकबेरी थ्रेट रिसर्च र इन्टेलिजेन्स टोली र इन्टेज सुरक्षा अनुसन्धानकर्ता जोआकिम केनेडीद्वारा संयुक्त रिपोर्टमा जारी गरिएको थियो।
तिनीहरूको खोजहरू अनुसार, सिम्बायोट पहिले नै चलिरहेको प्रक्रियाहरूमा सम्झौता गर्ने प्रयास गर्ने अन्य लिनक्स मालवेयर खतराहरू भन्दा धेरै फरक छ। यद्यपि, Symbiote लाई साझा वस्तु (SO) पुस्तकालयको रूपमा कार्य गर्न डिजाइन गरिएको छ जुन सबै चलिरहेको प्रक्रियाहरू LD_PRELOAD मार्फत लोड हुन्छन्। एकपटक यो सम्झौता गरिएको मेसिनमा पूर्ण रूपमा स्थापित भएपछि, खतरा लगभग रूटकिट-स्तर कार्यक्षमता प्रदान गर्न सक्षम छ। यसको उपस्थिति लुकाउन, Symbiote ले libc र libpcap जस्ता विशिष्ट कार्यहरू हुक गर्दछ।
यसबाहेक, libc पढ्ने प्रकार्यलाई हुक गरेर, खतराले संक्रमित यन्त्रबाट प्रमाणहरू काट्न सक्छ, जबकि Linux प्लगेबल प्रमाणीकरण मोड्युल (PAM) प्रयोग गर्दा यसले खतरा अभिनेताहरूलाई रिमोट पहुँच कार्यहरू दिन अनुमति दिन्छ। धम्कीबाट उत्पन्न संदिग्ध ट्राफिकको लागि, यो BPF (बर्कले प्याकेट फिल्टर) हुकिंगको प्रयोग मार्फत मास्क गरिएको छ।
अन्वेषकहरूले यो पनि पुष्टि गर्न सक्षम भए कि Symbiote सँग सम्बन्धित केही डोमेन नामहरू वैध ब्राजिलियन बैंकहरूको नक्कल गर्न डिजाइन गरिएको थियो। थप रूपमा, मालवेयरसँग लिङ्क गरिएको सर्भर उद्देश्यपूर्वक ब्राजिलको संघीय पुलिसको पृष्ठको नक्कल गर्न सिर्जना गरिएको थियो।
