Symbiote Malware

Um malware Linux incrivelmente furtivo, foi descoberto pelos pesquisadores de segurança cibernética. As primeiras amostras da ameaça, chamadas Symbiote, datam de novembro de 2021, com seus alvos pretendidos sendo instituições bancárias ou financeiras da América Latina. Detalhes sobre esse malware anteriormente desconhecido foram divulgados em um relatório conjunto da equipe BlackBerry Threat Research & Intelligence e do pesquisador de segurança da Inteze Joakim Kennedy.

De acordo com suas descobertas, o Symbiote difere significativamente das outras ameaças de malware do Linux que tentam comprometer processos já em execução. No entanto, o Symbiote foi projetado para atuar como uma biblioteca de objetos compartilhados (SO) que todos os processos em execução carregam via LD_PRELOAD. Depois de totalmente estabelecida na máquina comprometida, a ameaça é capaz de fornecer funcionalidade quase no nível do rootkit. Para ocultar sua presença, o Symbiote captura funções específicas, como libc e libpcap.

Além disso, ao conectar a função libc read, a ameaça pode coletar credenciais do dispositivo infectado, enquanto o uso do Linux Pluggable Authentication Module (PAM) permite fornecer funções de acesso remoto aos agentes da ameaça. Quanto ao tráfego suspeito gerado pela ameaça, ele é mascarado através do uso de hooking BPF (Berkeley Packet Filter).

Os pesquisadores também conseguiram confirmar que certos nomes de domínio associados ao Symbiote foram projetados para se passar por bancos brasileiros legítimos. Além disso, um servidor vinculado ao malware foi criado propositalmente para imitar a página da Polícia Federal do Brasil.