Symbiote Malware

Një malware tepër i fshehtë Linux është zbuluar nga studiuesit e sigurisë kibernetike. Mostrat më të hershme të kërcënimit, të quajtur Symbiote, datojnë në nëntor 2021 me objektivat e tij të synuar që besohet të jenë institucionet bankare ose financiare nga Amerika Latine. Detajet rreth këtij malware të panjohur më parë u publikuan në një raport të përbashkët nga ekipi BlackBerry Threat Research & Intelligence dhe studiuesi i sigurisë Inteze Joakim Kennedy.

Sipas gjetjeve të tyre, Symbiote ndryshon ndjeshëm nga kërcënimet e tjera malware të Linux që përpiqen të komprometojnë proceset tashmë të ekzekutuara. Megjithatë, Symbiote është krijuar për të vepruar si një bibliotekë e përbashkët (SO) që të gjitha proceset e ekzekutimit ngarkojnë përmes LD_PRELOAD. Pasi të jetë vendosur plotësisht në makinën e komprometuar, kërcënimi është në gjendje të ofrojë funksionalitet pothuajse të nivelit të rootkit. Për të fshehur praninë e saj, Symbiote lidh funksione specifike, të tilla si libc dhe libpcap .

Për më tepër, duke lidhur funksionin e leximit libc , kërcënimi mund të mbledhë kredencialet nga pajisja e infektuar, ndërsa përdorimi i Modulit të Autentifikimit të Pluggable Linux (PAM) e lejon atë të japë funksione të aksesit në distancë për aktorët e kërcënimit. Sa i përket trafikut të dyshimtë të krijuar nga kërcënimi, ai maskohet përmes përdorimit të lidhjes BPF (Berkeley Packet Filter).

Studiuesit gjithashtu ishin në gjendje të konfirmonin se emra të caktuar të domain-it të lidhur me Symbiote ishin krijuar për të imituar bankat legjitime braziliane. Për më tepër, një server i lidhur me malware u krijua qëllimisht për të imituar faqen e Policisë Federale të Brazilit.