Зловмисне програмне забезпечення Symbiote

Дослідники з кібербезпеки виявили неймовірно приховане зловмисне програмне забезпечення Linux. Найперші зразки загрози, названі Symbiote, датуються листопадом 2021 року, її передбачуваними цілями вважаються банківські або фінансові установи з Латинської Америки. Деталі про це раніше невідоме шкідливе програмне забезпечення були опубліковані в спільному звіті групи BlackBerry Threat Research & Intelligence і дослідника безпеки Inteze Йоакіма Кеннеді.

Згідно з їхніми висновками, Symbiote значно відрізняється від інших шкідливих програм Linux, які намагаються порушити вже запущені процеси. Однак Symbiote призначений для роботи як бібліотека спільних об’єктів (SO), яку всі запущені процеси завантажують через LD_PRELOAD. Після повного встановлення на компрометованій машині загроза може забезпечити функціональність майже на рівні руткіта. Щоб приховати свою присутність, Symbiote підключає певні функції, такі як libc і libpcap .

Крім того, підключивши функцію читання libc , загроза може отримати облікові дані із зараженого пристрою, тоді як використання модуля аутентифікації Linux Pluggable (PAM) дозволяє їй надавати функції віддаленого доступу суб’єктам загрози. Що стосується підозрілого трафіку, створеного загрозою, то він маскується за допомогою підключення BPF (Berkeley Packet Filter).

Дослідники також змогли підтвердити, що певні доменні імена, пов’язані з Symbiote, були розроблені, щоб видавати себе за законні бразильські банки. Крім того, сервер, пов’язаний із шкідливим програмним забезпеченням, був цілеспрямовано створений, щоб імітувати сторінку Федеральної поліції Бразилії.