Symbiote, découvert par les chercheurs de Blackberry, est un nouveau malware Linux conçu pour infecter tous les processus en cours d'exécution sur les machines infectées. Le logiciel malveillant est capable de voler les informations d'identification du compte et de fournir un accès détourné à ses opérateurs.
Un regard sur les logiciels malveillants Symbiote Linux
La première détection du logiciel malveillant a eu lieu en novembre 2021, lorsqu'il a été découvert lors d'attaques contre des organisations financières en Amérique latine. Le malware est capable de se cacher après l'infection, rendant très difficile la détection.
En outre, les chercheurs ont déclaré que même la médecine légale en direct peut ne rien révéler car tous les fichiers, processus, et les artefacts de réseau sont masqués (A.K.A. Fonctionnalités des rootkits). En plus du rootkit, le logiciel malveillant fournit également une porte dérobée permettant aux pirates de se connecter en tant qu'utilisateur quelconque sur la machine compromise via un mot de passe codé en dur. L'étape suivante consiste à exécuter des commandes avec les privilèges les plus élevés.
« Puisqu'il est extrêmement évasif, une infection Symbiote est susceptible de "voler sous le radar". Dans notre recherche, nous n'avons pas trouvé suffisamment de preuves pour déterminer si Symbiote est utilisé dans des attaques très ciblées ou larges,» Le rapport.
L'un des aspects techniques les plus curieux du logiciel malveillant est le soi-disant filtre de paquets Berkeley (BPF) fonctionnalité d'accrochage. Même si ce n'est pas le premier malware Linux à utiliser cette fonctionnalité, dans le cas de Symbiote, le hooking est utilisé pour masquer le trafic réseau malveillant sur la machine compromise. D'autres exemples de logiciels malveillants utilisant la fonctionnalité incluent des portes dérobées avancées attribuées au groupe de menaces Equation.
Lorsqu'un administrateur lance un outil de capture de paquets, le bytecode BPF est injecté dans le noyau définissant quels paquets doivent être capturés.
"Dans ce processus, Symbiote ajoute d'abord son bytecode afin de pouvoir filtrer le trafic réseau qu'il ne veut pas que le logiciel de capture de paquets voie,” les chercheurs ont ajouté.
l'information technique complète est disponible en le rapport original de Blackberry. D'autres exemples d'échantillons de logiciels malveillants récents destinés à l'environnement Linux incluent rançongiciel Cheerscrypt et l' Porte dérobée SysJoker.