Symbiote Malware

Un malware Linux incredibil de ascuns a fost descoperit de cercetătorii în domeniul securității cibernetice. Cele mai timpurii mostre ale amenințării, numite Symbiote, datează din noiembrie 2021, cu țintele vizate despre care se crede că sunt instituții bancare sau financiare din America Latină. Detalii despre acest malware necunoscut anterior au fost publicate într-un raport comun de către echipa BlackBerry Threat Research & Intelligence și cercetătorul de securitate Inteze Joakim Kennedy.

Conform constatărilor lor, Symbiote diferă semnificativ de celelalte amenințări malware Linux care încearcă să compromită procesele care rulează deja. Cu toate acestea, Symbiote este proiectat să acționeze ca o bibliotecă de obiecte partajate (SO) pe care toate procesele care rulează o încarcă prin LD_PRELOAD. Odată ce a fost complet stabilit pe mașina compromisă, amenințarea este capabilă să ofere funcționalitate aproape la nivel de rootkit. Pentru a-și ascunde prezența, Symbiote agăță funcții specifice, cum ar fi libc și libpcap .

În plus, prin conectarea funcției de citire libc , amenințarea poate colecta acreditări de la dispozitivul infectat, în timp ce utilizarea Modulului de autentificare conectabil Linux (PAM) îi permite să ofere funcții de acces de la distanță actorilor amenințărilor. În ceea ce privește traficul suspect generat de amenințare, acesta este mascat prin utilizarea hooking-ului BPF (Berkeley Packet Filter).

Cercetătorii au putut, de asemenea, să confirme că anumite nume de domenii asociate cu Symbiote au fost concepute pentru a uzurpa identitatea băncilor braziliene legitime. În plus, un server legat de malware a fost creat intenționat pentru a imita pagina Poliției Federale din Brazilia.