Symbiote вредоносное ПО

Исследователи кибербезопасности обнаружили невероятно скрытное вредоносное ПО для Linux. Самые ранние образцы угрозы под названием Symbiote относятся к ноябрю 2021 года, а предполагаемыми целями считаются банки или финансовые учреждения из Латинской Америки. Подробности об этой ранее неизвестной вредоносной программе были опубликованы в совместном отчете команды BlackBerry Threat Research & Intelligence и исследователя безопасности Inteze Джоакима Кеннеди.

Согласно их выводам, Symbiote значительно отличается от других вредоносных программ для Linux, которые пытаются скомпрометировать уже запущенные процессы. Однако Symbiote предназначен для работы в качестве библиотеки общих объектов (SO), которую все запущенные процессы загружают через LD_PRELOAD. После того, как угроза полностью установлена на скомпрометированной машине, она способна обеспечить функциональность почти на уровне руткита. Чтобы скрыть свое присутствие, Symbiote перехватывает определенные функции, такие как libc и libpcap .

Кроме того, перехватив функцию чтения libc , угроза может собирать учетные данные с зараженного устройства, а использование подключаемого модуля аутентификации Linux (PAM) позволяет предоставлять функции удаленного доступа злоумышленникам. Что касается подозрительного трафика, генерируемого угрозой, то он маскируется с помощью перехвата BPF (Berkeley Packet Filter).

Исследователи также смогли подтвердить, что определенные доменные имена, связанные с Symbiote, были созданы для того, чтобы выдавать себя за законные бразильские банки. Кроме того, сервер, связанный с вредоносным ПО, был специально создан для имитации страницы Федеральной полиции Бразилии.