Simbionte, descoberto por pesquisadores do Blackberry, é um novo malware Linux projetado para infectar todos os processos em execução em máquinas infectadas. O malware é capaz de roubar credenciais de conta e fornecer acesso backdoor a seus operadores.
Uma olhada no malware Symbiote Linux
A primeira detecção do malware aconteceu em novembro 2021, quando foi descoberto em ataques contra organizações financeiras na América Latina. O malware é capaz de se esconder após a infecção, tornando muito difícil de detectar.
além disso, os pesquisadores disseram que mesmo a perícia forense ao vivo pode não revelar nada, pois todos os arquivos, processos, e artefatos de rede estão ocultos (a.k.a. Recursos de rootkit). Além do rootkit, o malware também fornece um backdoor, permitindo que os agentes de ameaças façam login como qualquer usuário na máquina comprometida por meio de uma senha codificada.. O próximo passo é executar comandos com os privilégios mais altos.
“Como é extremamente evasivo, é provável que uma infecção por Symbiote “voe sob o radar”. Em nossa pesquisa, não encontramos evidências suficientes para determinar se o Symbiote está sendo usado em ataques altamente direcionados ou amplos,”Disse o relatório.
Um dos aspectos técnicos mais curiosos do malware é o chamado Berkeley Packet Filter (BPF) funcionalidade de engate. Mesmo que este não seja o primeiro malware Linux a usar essa funcionalidade, no caso do Symbiote, o hooking é usado para ocultar o tráfego de rede malicioso na máquina comprometida. Outros exemplos de malware usando a funcionalidade incluem backdoors avançados atribuídos ao grupo de ameaças Equation.
Quando um administrador inicia qualquer ferramenta de captura de pacotes, o bytecode BPF é injetado no kernel definindo quais pacotes devem ser capturados.
"Nesse processo, O Symbiote adiciona seu bytecode primeiro para filtrar o tráfego de rede que não deseja que o software de captura de pacotes veja,”Os pesquisadores acrescentaram.
A divulgação técnica completa está disponível em o relatório original do Blackberry. Outros exemplos de amostras recentes de malware destinadas ao ambiente Linux incluem Ransomware Cheerscrypt e a Backdoor do SysJoker.