Symbiote Malware

Een ongelooflijk onopvallende Linux-malware is ontdekt door cyberbeveiligingsonderzoekers. De vroegste voorbeelden van de dreiging, Symbiote genaamd, dateren van november 2021 en de beoogde doelen waren vermoedelijk bank- of financiële instellingen uit Latijns-Amerika. Details over deze voorheen onbekende malware werden vrijgegeven in een gezamenlijk rapport van het BlackBerry Threat Research & Intelligence-team en de Inteze-beveiligingsonderzoeker Joakim Kennedy.

Volgens hun bevindingen verschilt Symbiote aanzienlijk van de andere Linux-malwarebedreigingen die reeds lopende processen proberen te compromitteren. Symbiote is echter ontworpen om te fungeren als een gedeelde object (SO) bibliotheek die alle actieve processen laden via LD_PRELOAD. Als het eenmaal volledig is gevestigd op de besmette machine, kan de dreiging bijna op rootkit-niveau functionaliteit bieden. Om zijn aanwezigheid te verbergen, koppelt Symbiote specifieke functies, zoals libc en libpcap .

Bovendien kan de dreiging, door de libc -leesfunctie te hooken, inloggegevens van het geïnfecteerde apparaat oogsten, terwijl het gebruik van de Linux Pluggable Authentication Module (PAM) het mogelijk maakt om externe toegangsfuncties te geven aan de dreigingactoren. Het verdachte verkeer dat door de dreiging wordt gegenereerd, wordt gemaskeerd door het gebruik van BPF (Berkeley Packet Filter) hooking.

De onderzoekers konden ook bevestigen dat bepaalde domeinnamen die aan Symbiote zijn gekoppeld, zijn ontworpen om legitieme Braziliaanse banken na te bootsen. Bovendien is met opzet een server die aan de malware is gekoppeld, gemaakt om de pagina van de federale politie van Brazilië te imiteren.