Symbiote Malware

Výskumníci v oblasti kybernetickej bezpečnosti odhalili neuveriteľne tajný Linuxový malvér. Najskoršie vzorky hrozby s názvom Symbiote sa datujú do novembra 2021 a jej zamýšľanými cieľmi sú pravdepodobne bankové alebo finančné inštitúcie z Latinskej Ameriky. Podrobnosti o tomto predtým neznámom malvéri boli zverejnené v spoločnej správe tímu BlackBerry Threat Research & Intelligence a bezpečnostného výskumníka Inteze Joakima Kennedyho.

Podľa ich zistení sa Symbiote výrazne líši od ostatných linuxových malvérových hrozieb, ktoré sa snažia kompromitovať už spustené procesy. Symbiote je však navrhnutý tak, aby fungoval ako knižnica zdieľaných objektov (SO), ktorú všetky spustené procesy načítavajú cez LD_PRELOAD. Po úplnom zavedení na napadnutom počítači je hrozba schopná poskytnúť funkčnosť takmer na úrovni rootkitu. Aby Symbiote skryl svoju prítomnosť, spája špecifické funkcie, ako napríklad libc a libpcap .

Okrem toho, pripojením funkcie čítania libc môže hrozba získať poverenia z infikovaného zariadenia, zatiaľ čo používanie modulu Linux Pluggable Authentication Module (PAM) jej umožňuje poskytnúť aktérom hrozby funkcie vzdialeného prístupu. Pokiaľ ide o podozrivý prenos generovaný hrozbou, je maskovaný pomocou háku BPF (Berkeley Packet Filter).

Výskumníkom sa tiež podarilo potvrdiť, že niektoré názvy domén spojené so Symbiote boli navrhnuté tak, aby sa vydávali za legitímne brazílske banky. Okrem toho bol zámerne vytvorený server prepojený s malvérom, ktorý napodobňuje stránku brazílskej federálnej polície.