Symbiote Linux Malware vole sous le radar

Des experts en sécurité de BlackBerry Threat Research ont publié un article de recherche conjoint sur une nouvelle souche de malware Linux, baptisée Symbiote.

Le malware a été découvert pour la première fois au début de 2022. Son principal point fort est à quel point il est difficile à détecter - l'équipe qualifie Symbiote de "presque impossible" à détecter sur un système.

Symbiote fonctionne comme une bibliothèque d'objets partagée sur le système cible, contrairement à la plupart des logiciels malveillants Linux qui chercheront à compromettre les processus déjà en cours d'exécution. Au lieu de cela, Symbiote est chargé sur tous les processus en cours d'exécution sur le système victime à l'aide de VIA_PRELOAD.

Une fois entièrement déployé, Symbiote offre des capacités de rootkit à ses opérateurs. Le logiciel malveillant utilise le raccordement du filtre de paquets Berkeley, qui lui permet de masquer le trafic de paquets malveillants sur un système infecté. Les chercheurs ont expliqué que si un administrateur système tentait d'utiliser un outil de capture et de surveillance de paquets pour rechercher une activité malveillante, Symbiote injecterait le bytecode Berkeley Packet Filter qui indique au noyau quels paquets capturer, permettant au malware de façonner le trafic affiché dans le Capturer.

Symbiote garde un profil très bas, étant préchargé avant tous les autres objets partagés sur le système, ce qui lui permet de rester caché. Il peut également récolter les informations d'identification des systèmes compromis.

Le premier échantillon découvert du logiciel malveillant Symbiote remonte à la fin de 2021 et a probablement été utilisé pour cibler des institutions bancaires en Amérique du Sud.