Złośliwe oprogramowanie Symbiote

Badacze cyberbezpieczeństwa odkryli niezwykle ukryte złośliwe oprogramowanie dla Linuksa. Najwcześniejsze próbki zagrożenia, nazwane Symbiote, pochodzą z listopada 2021 r., a jego zamierzonymi celami były prawdopodobnie instytucje bankowe lub finansowe z Ameryki Łacińskiej. Szczegóły dotyczące tego nieznanego wcześniej złośliwego oprogramowania zostały opublikowane we wspólnym raporcie zespołu BlackBerry Threat Research & Intelligence oraz badacza bezpieczeństwa firmy Inteze, Joakima Kennedy'ego.

Zgodnie z ich ustaleniami, Symbiote znacznie różni się od innych zagrożeń złośliwym oprogramowaniem dla Linuksa, które próbują naruszyć już działające procesy. Jednak Symbiote został zaprojektowany do działania jako biblioteka obiektów współdzielonych (SO), którą wszystkie uruchomione procesy ładują za pośrednictwem LD_PRELOAD. Po pełnym ustanowieniu na zaatakowanej maszynie zagrożenie jest w stanie zapewnić funkcjonalność niemal na poziomie rootkita. Aby ukryć swoją obecność, Symbiote przechwytuje określone funkcje, takie jak libc i libpcap .

Co więcej, podłączając funkcję odczytu biblioteki libc , zagrożenie może przechwycić dane uwierzytelniające z zainfekowanego urządzenia, podczas gdy użycie modułu Linux Pluggable Authentication Module (PAM) umożliwia udostępnianie funkcji zdalnego dostępu cyberprzestępcom. Jeśli chodzi o podejrzany ruch generowany przez zagrożenie, jest on maskowany za pomocą hookingu BPF (Berkeley Packet Filter).

Badacze byli również w stanie potwierdzić, że niektóre nazwy domen powiązane z Symbiote zostały zaprojektowane tak, aby podszywały się pod legalne brazylijskie banki. Ponadto serwer powiązany ze szkodliwym oprogramowaniem został celowo stworzony, aby imitować stronę Policji Federalnej Brazylii.