Symbiote Malware

Isang hindi kapani-paniwalang palihim na Linux malware ang natuklasan ng mga mananaliksik sa cybersecurity. Ang pinakaunang mga sample ng banta, na pinangalanang Symbiote, ay nagsimula noong Nobyembre 2021 kasama ang mga nilalayong target nito na pinaniniwalaang mga banking o institusyong pampinansyal mula sa Latin America. Ang mga detalye tungkol sa dati nang hindi kilalang malware na ito ay inilabas sa isang pinagsamang ulat ng BlackBerry Threat Research & Intelligence team at ng Inteze security researcher na si Joakim Kennedy.

Ayon sa kanilang mga natuklasan, malaki ang pagkakaiba ng Symbiote sa iba pang mga banta ng malware sa Linux na sumusubok na ikompromiso ang mga tumatakbo nang proseso. Gayunpaman, ang Symbiote ay idinisenyo upang kumilos bilang isang shared object (SO) library na naglo-load ang lahat ng tumatakbong proseso sa pamamagitan ng LD_PRELOAD. Kapag ganap na itong naitatag sa nakompromisong makina, ang banta ay may kakayahang magbigay ng halos rootkit-level na functionality. Upang itago ang presensya nito, ini-hook ng Symbiote ang mga partikular na function, gaya ng libc at libpcap .

Higit pa rito, sa pamamagitan ng pag-hook sa libc read function, ang pagbabanta ay maaaring mag-ani ng mga kredensyal mula sa nahawaang device, habang ang paggamit ng Linux Pluggable Authentication Module (PAM) ay nagbibigay-daan dito na magbigay ng remote access function sa mga banta ng aktor. Tulad ng para sa kahina-hinalang trapiko na nabuo ng banta, ito ay natatakpan sa pamamagitan ng paggamit ng BPF (Berkeley Packet Filter) hooking.

Nakumpirma rin ng mga mananaliksik na ang ilang mga domain name na nauugnay sa Symbiote ay idinisenyo upang gayahin ang mga lehitimong bangko sa Brazil. Bilang karagdagan, ang isang server na naka-link sa malware ay sadyang ginawa upang gayahin ang pahina ng Federal Police ng Brazil.