Zlonamerna programska oprema Symbiote

Raziskovalci kibernetske varnosti so odkrili neverjetno prikrito zlonamerno programsko opremo za Linux. Najzgodnejši vzorci grožnje, imenovani Symbiote, segajo v november 2021, njeni načrtovani cilji pa naj bi bile bančne ali finančne institucije iz Latinske Amerike. Podrobnosti o tej prej neznani zlonamerni programski opremi so objavili v skupnem poročilu ekipe BlackBerry Threat Research & Intelligence in varnostnega raziskovalca Inteze Joakima Kennedyja.

Po njihovih ugotovitvah se Symbiote bistveno razlikuje od drugih groženj zlonamerne programske opreme Linux, ki poskušajo ogroziti že delujoče procese. Vendar je Symbiote zasnovan tako, da deluje kot knjižnica predmetov v skupni rabi (SO), ki se naložijo vsi izvajani procesi prek LD_PRELOAD. Ko je grožnja v celoti vzpostavljena na ogroženem računalniku, lahko zagotovi funkcionalnost skoraj na ravni rootkita. Da bi skril svojo prisotnost, Symbiote priklopi posebne funkcije, kot sta libc in libpcap .

Poleg tega lahko grožnja s priklopom funkcije branja libc zbere poverilnice iz okužene naprave, medtem ko ji uporaba modula za preverjanje pristnosti, ki ga je mogoče vtiči v Linux (PAM) omogoča omogočiti funkcije oddaljenega dostopa akterjem grožnje. Kar zadeva sumljiv promet, ki ga ustvari grožnja, je ta prikrit z uporabo priklopa BPF (Berkeley Packet Filter).

Raziskovalci so lahko tudi potrdili, da so bila nekatera imena domen, povezana s Symbiote, zasnovana za lažno predstavljanje zakonitih brazilskih bank. Poleg tega je bil strežnik, povezan z zlonamerno programsko opremo, namerno ustvarjen za posnemanje strani zvezne policije Brazilije.