simbionte, descubierto por investigadores de Blackberry, es un nuevo malware de Linux diseñado para infectar todos los procesos en ejecución en máquinas infectadas. El malware es capaz de robar las credenciales de la cuenta y proporcionar acceso de puerta trasera a sus operadores..
Una mirada al malware Symbiote Linux
La primera detección del malware ocurrió en noviembre. 2021, cuando se descubrió en ataques contra organizaciones financieras en América Latina. El malware es capaz de ocultarse después de la infección., por lo que es muy difícil de detectar.
Además, los investigadores dijeron que incluso los forenses en vivo pueden no revelar nada, ya que todos los archivos, procesos, y los artefactos de red están ocultos (a.k.a. Capacidades de rootkit). Además del rootkit, el malware también proporciona una puerta trasera que permite que los actores de amenazas inicien sesión como cualquier usuario en la máquina comprometida a través de una contraseña codificada. El siguiente paso es ejecutar comandos con los privilegios más altos..
“Dado que es extremadamente evasivo, Es probable que una infección de simbionte "vuele por debajo del radar". En nuestra investigación, no hemos encontrado suficiente evidencia para determinar si Symbiote se está utilizando en ataques amplios o altamente dirigidos,”Según el informe.
Uno de los aspectos técnicos más curiosos del malware es el llamado Berkeley Packet Filter. (BPF) funcionalidad de enganche. Aunque este no es el primer malware de Linux que usa esta funcionalidad, en el caso de Symbiote, el enlace se usa para ocultar el tráfico de red malicioso en la máquina comprometida. Otros ejemplos de malware que usan la funcionalidad incluyen puertas traseras avanzadas atribuidas al grupo de amenazas Equation..
Cuando un administrador inicia cualquier herramienta de captura de paquetes, el código de bytes BPF se inyecta en el kernel que define qué paquetes deben capturarse.
"En este proceso, Symbiote agrega primero su código de bytes para que pueda filtrar el tráfico de red que no quiere que vea el software de captura de paquetes.,”Agregaron los investigadores.
divulgación técnica completa está disponible en el informe original de Blackberry. Otros ejemplos de muestras de malware recientes dirigidas al entorno Linux incluyen Cheerscrypt ransomware y el Puerta trasera de SysJoker.