Phần mềm độc hại Symbiote

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một phần mềm độc hại cực kỳ tàng hình trên Linux. Các mẫu sớm nhất về mối đe dọa, có tên là Symbiote, có từ tháng 11 năm 2021 với các mục tiêu dự kiến của nó được cho là các tổ chức tài chính hoặc ngân hàng từ Mỹ Latinh. Thông tin chi tiết về phần mềm độc hại chưa biết trước đây này đã được công bố trong một báo cáo chung của nhóm Nghiên cứu và Tình báo Đe doạ BlackBerry và nhà nghiên cứu bảo mật Inteze Joakim Kennedy.

Theo phát hiện của họ, Symbiote khác biệt đáng kể so với các mối đe dọa phần mềm độc hại Linux khác cố gắng xâm phạm các quy trình đã chạy. Tuy nhiên, Symbiote được thiết kế để hoạt động như một thư viện đối tượng chia sẻ (SO) mà tất cả các quy trình đang chạy đều tải qua LD_PRELOAD. Khi nó đã được thiết lập đầy đủ trên máy bị xâm nhập, mối đe dọa có khả năng cung cấp chức năng gần như cấp rootkit. Để che giấu sự hiện diện của nó, Symbiote móc các chức năng cụ thể, chẳng hạn như libc và libpcap .

Hơn nữa, bằng cách kết nối chức năng đọc libc , mối đe dọa có thể thu thập thông tin xác thực từ thiết bị bị nhiễm, trong khi việc sử dụng Mô-đun xác thực có thể cắm được của Linux (PAM) cho phép nó cung cấp các chức năng truy cập từ xa cho các tác nhân đe dọa. Đối với lưu lượng truy cập đáng ngờ được tạo ra bởi mối đe dọa, nó được che giấu thông qua việc sử dụng kết nối BPF (Berkeley Packet Filter).

Các nhà nghiên cứu cũng có thể xác nhận rằng một số tên miền nhất định liên quan đến Symbiote được thiết kế để mạo danh các ngân hàng hợp pháp của Brazil. Ngoài ra, một máy chủ được liên kết với phần mềm độc hại đã được tạo ra nhằm mục đích bắt chước trang của Cảnh sát Liên bang Brazil.