Malware Symbiote Linux voa sob o radar

Especialistas em segurança da BlackBerry Threat Research publicaram um post de pesquisa conjunta sobre uma nova variedade de malware para Linux, apelidada de Symbiote.

O malware foi descoberto pela primeira vez no início de 2022. Seu principal destaque é o quão difícil é detectar - a equipe chama o Symbiote de "quase impossível" de detectar em um sistema.

O Symbiote funciona como uma biblioteca de objetos compartilhados no sistema de destino, em contraste com a maioria dos malwares Linux que procuram comprometer processos já em execução. Em vez disso, o Symbiote é carregado em todos os processos em execução no sistema da vítima usando VIA_PRELOAD.

Uma vez totalmente implantado, o Symbiote oferece recursos de rootkit para seus operadores. O malware faz uso do gancho do Berkeley Packet Filter, que permite mascarar o tráfego de pacotes maliciosos em um sistema infectado. Os pesquisadores explicaram que, se um administrador de sistema tentar usar uma ferramenta de captura e monitoramento de pacotes para procurar atividades maliciosas, o Symbiote injetaria o bytecode do Berkeley Packet Filter que informa ao kernel quais pacotes capturar, permitindo que o malware molde o tráfego que aparece no capturar.

O Symbiote mantém um perfil muito baixo, sendo pré-carregado antes de todos os outros objetos compartilhados no sistema, o que permite que ele permaneça oculto. Ele também pode coletar credenciais dos sistemas comprometidos.

A primeira amostra descoberta do malware Symbiote remonta ao final de 2021 e provavelmente foi usada para atingir instituições bancárias na América do Sul.