Symbiote Malware
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਇੱਕ ਅਵਿਸ਼ਵਾਸ਼ਯੋਗ ਤੌਰ 'ਤੇ ਗੁਪਤ ਲੀਨਕਸ ਮਾਲਵੇਅਰ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਗਿਆ ਹੈ। ਖ਼ਤਰੇ ਦੇ ਸਭ ਤੋਂ ਪੁਰਾਣੇ ਨਮੂਨੇ, ਜਿਸ ਦਾ ਨਾਮ ਸਿੰਬਿਓਟ ਹੈ, ਨਵੰਬਰ 2021 ਦੇ ਹਨ, ਜਿਸਦੇ ਟੀਚਿਆਂ ਨੂੰ ਲੈਟਿਨ ਅਮਰੀਕਾ ਤੋਂ ਬੈਂਕਿੰਗ ਜਾਂ ਵਿੱਤੀ ਸੰਸਥਾਵਾਂ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। ਇਸ ਤੋਂ ਪਹਿਲਾਂ ਅਣਜਾਣ ਮਾਲਵੇਅਰ ਬਾਰੇ ਵੇਰਵੇ ਬਲੈਕਬੇਰੀ ਥਰੇਟ ਰਿਸਰਚ ਐਂਡ ਇੰਟੈਲੀਜੈਂਸ ਟੀਮ ਅਤੇ ਇੰਟੇਜ਼ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾ ਜੋਆਕਿਮ ਕੈਨੇਡੀ ਦੁਆਰਾ ਇੱਕ ਸਾਂਝੀ ਰਿਪੋਰਟ ਵਿੱਚ ਜਾਰੀ ਕੀਤੇ ਗਏ ਸਨ।
ਉਹਨਾਂ ਦੀਆਂ ਖੋਜਾਂ ਦੇ ਅਨੁਸਾਰ, ਸਿਮਬਾਇਓਟ ਦੂਜੇ ਲੀਨਕਸ ਮਾਲਵੇਅਰ ਖਤਰਿਆਂ ਤੋਂ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਵੱਖਰਾ ਹੈ ਜੋ ਪਹਿਲਾਂ ਤੋਂ ਚੱਲ ਰਹੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹਨ। ਹਾਲਾਂਕਿ, Symbiote ਨੂੰ ਇੱਕ ਸ਼ੇਅਰਡ ਆਬਜੈਕਟ (SO) ਲਾਇਬ੍ਰੇਰੀ ਵਜੋਂ ਕੰਮ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ ਜੋ ਸਾਰੀਆਂ ਚੱਲ ਰਹੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ LD_PRELOAD ਦੁਆਰਾ ਲੋਡ ਹੁੰਦੀਆਂ ਹਨ। ਇੱਕ ਵਾਰ ਜਦੋਂ ਇਹ ਸਮਝੌਤਾ ਕੀਤੀ ਮਸ਼ੀਨ 'ਤੇ ਪੂਰੀ ਤਰ੍ਹਾਂ ਸਥਾਪਿਤ ਹੋ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਧਮਕੀ ਲਗਭਗ ਰੂਟਕਿਟ-ਪੱਧਰ ਦੀ ਕਾਰਜਕੁਸ਼ਲਤਾ ਪ੍ਰਦਾਨ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ। ਇਸਦੀ ਮੌਜੂਦਗੀ ਨੂੰ ਲੁਕਾਉਣ ਲਈ, Symbiote ਖਾਸ ਫੰਕਸ਼ਨਾਂ ਨੂੰ ਹੁੱਕ ਕਰਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ libc ਅਤੇ libpcap ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, libc ਰੀਡ ਫੰਕਸ਼ਨ ਨੂੰ ਹੁੱਕ ਕਰਨ ਨਾਲ, ਧਮਕੀ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸ ਤੋਂ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਕਟਾਈ ਕਰ ਸਕਦੀ ਹੈ, ਜਦੋਂ ਕਿ ਲੀਨਕਸ ਪਲੱਗੇਬਲ ਪ੍ਰਮਾਣੀਕਰਨ ਮੋਡੀਊਲ (PAM) ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਇਸ ਨੂੰ ਧਮਕੀ ਐਕਟਰਾਂ ਨੂੰ ਰਿਮੋਟ ਐਕਸੈਸ ਫੰਕਸ਼ਨ ਦੇਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਜਿਵੇਂ ਕਿ ਧਮਕੀ ਦੁਆਰਾ ਪੈਦਾ ਹੋਏ ਸ਼ੱਕੀ ਟ੍ਰੈਫਿਕ ਲਈ, ਇਸ ਨੂੰ ਬੀਪੀਐਫ (ਬਰਕਲੇ ਪੈਕੇਟ ਫਿਲਟਰ) ਹੂਕਿੰਗ ਦੀ ਵਰਤੋਂ ਦੁਆਰਾ ਮਾਸਕ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
ਖੋਜਕਰਤਾ ਇਸ ਗੱਲ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਦੇ ਯੋਗ ਵੀ ਸਨ ਕਿ Symbiote ਨਾਲ ਜੁੜੇ ਕੁਝ ਡੋਮੇਨ ਨਾਮ ਜਾਇਜ਼ ਬ੍ਰਾਜ਼ੀਲੀਅਨ ਬੈਂਕਾਂ ਦੀ ਨਕਲ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਸਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਮਾਲਵੇਅਰ ਨਾਲ ਜੁੜਿਆ ਇੱਕ ਸਰਵਰ ਜਾਣਬੁੱਝ ਕੇ ਬ੍ਰਾਜ਼ੀਲ ਦੀ ਸੰਘੀ ਪੁਲਿਸ ਦੇ ਪੰਨੇ ਦੀ ਨਕਲ ਕਰਨ ਲਈ ਬਣਾਇਆ ਗਿਆ ਸੀ।