Symbiote Malware

En otroligt smygande Linux-skadlig kod har upptäckts av cybersäkerhetsforskare. De tidigaste exemplen av hotet, som heter Symbiote, går tillbaka till november 2021 med dess avsedda mål som tros vara bank- eller finansinstitut från Latinamerika. Detaljer om denna tidigare okända skadliga programvara släpptes i en gemensam rapport från BlackBerry Threat Research & Intelligence-teamet och Inteze-säkerhetsforskaren Joakim Kennedy.

Enligt deras upptäckter skiljer sig Symbiote avsevärt från de andra Linux-hot med skadlig programvara som försöker äventyra redan pågående processer. Symbiote är dock designat för att fungera som ett delat objekt (SO) bibliotek som alla pågående processer laddar via LD_PRELOAD. När det väl har etablerats helt på den komprometterade maskinen kan hotet tillhandahålla funktionalitet på nästan rootkit-nivå. För att dölja sin närvaro kopplar Symbiote specifika funktioner, som libc och libpcap .

Dessutom, genom att koppla in libc -läsfunktionen, kan hotet hämta inloggningsuppgifter från den infekterade enheten, medan användning av Linux Pluggable Authentication Module (PAM) gör det möjligt för den att ge fjärråtkomstfunktioner till hotaktörerna. När det gäller den misstänkta trafiken som genereras av hotet, är den maskerad genom användning av BPF (Berkeley Packet Filter) hooking.

Forskarna kunde också bekräfta att vissa domännamn associerade med Symbiote var designade för att imitera legitima brasilianska banker. Dessutom skapades målmedvetet en server kopplad till skadlig programvara för att imitera sidan för Brasiliens federala polis.