Simbionte, scoperto dai ricercatori di Blackberry, è un nuovo malware Linux progettato per infettare tutti i processi in esecuzione su macchine infette. Il malware è in grado di rubare le credenziali dell'account e fornire accesso backdoor ai suoi operatori.
Uno sguardo al malware Symbiote Linux
Il primo rilevamento del malware è avvenuto a novembre 2021, quando è stato scoperto in attacchi contro organizzazioni finanziarie in America Latina. Il malware è in grado di nascondersi dopo l'infezione, rendendolo molto difficile da rilevare.
Inoltre, i ricercatori hanno affermato che anche la scientifica dal vivo potrebbe non rivelare nulla come tutti i file, processi, e gli artefatti di rete sono nascosti (a.k.a. Funzionalità del rootkit). Oltre al rootkit, il malware fornisce anche una backdoor che consente agli attori delle minacce di accedere come qualsiasi utente sulla macchina compromessa tramite una password hardcoded. Il passaggio successivo consiste nell'eseguire i comandi con i privilegi più elevati.
«Dato che è estremamente evasivo, un'infezione da simbionte rischia di "volare sotto il radar". Nella nostra ricerca, non abbiamo trovato prove sufficienti per determinare se Symbiote viene utilizzato in attacchi altamente mirati o ampi,”Dice il rapporto.
Uno degli aspetti tecnici più curiosi del malware è il cosiddetto Berkeley Packet Filter (BPF) funzionalità di aggancio. Anche se questo non è il primo malware Linux a utilizzare questa funzionalità, nel caso di Symbiote l'hooking viene utilizzato per nascondere il traffico di rete dannoso sulla macchina compromessa. Altri esempi di malware che utilizzano la funzionalità includono backdoor avanzate attribuite al gruppo di minacce Equation.
Quando un amministratore avvia uno strumento di acquisizione dei pacchetti, il bytecode BPF viene iniettato nel kernel definendo quali pacchetti devono essere catturati.
“In questo processo, Symbiote aggiunge prima il suo bytecode in modo da poter filtrare il traffico di rete che non vuole che il software di acquisizione dei pacchetti veda,” hanno aggiunto i ricercatori.
Completa divulgazione tecnica è disponibile in il rapporto originale di Blackberry. Altri esempi di campioni di malware recenti rivolti all'ambiente Linux includono Cheerscrypt ransomware e la SysJoker backdoor.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: