Malware Symbiote

Investigadores de ciberseguridad han descubierto un malware de Linux increíblemente sigiloso. Las primeras muestras de la amenaza, denominada Symbiote, datan de noviembre de 2021 y se cree que sus objetivos previstos son instituciones bancarias o financieras de América Latina. Los detalles sobre este malware previamente desconocido fueron publicados en un informe conjunto del equipo de BlackBerry Threat Research & Intelligence y el investigador de seguridad de Inteze, Joakim Kennedy.

Según sus hallazgos, Symbiote difiere significativamente de las otras amenazas de malware de Linux que intentan comprometer los procesos que ya se están ejecutando. Sin embargo, Symbiote está diseñado para actuar como una biblioteca de objetos compartidos (SO) que cargan todos los procesos en ejecución a través de LD_PRELOAD. Una vez que se ha establecido por completo en la máquina comprometida, la amenaza es capaz de proporcionar una funcionalidad casi a nivel de rootkit. Para ocultar su presencia, Symbiote engancha funciones específicas, como libc y libpcap .

Además, al conectar la función de lectura de libc , la amenaza puede recolectar credenciales del dispositivo infectado, mientras que el uso del Módulo de autenticación conectable (PAM) de Linux le permite brindar funciones de acceso remoto a los actores de la amenaza. En cuanto al tráfico sospechoso generado por la amenaza, se enmascara mediante el uso de enganches BPF (Berkeley Packet Filter).

Los investigadores también pudieron confirmar que ciertos nombres de dominio asociados con Symbiote fueron diseñados para hacerse pasar por bancos brasileños legítimos. Además, se creó a propósito un servidor vinculado al malware para imitar la página de la Policía Federal de Brasil.