Logiciel malveillant Symbiote

Un malware Linux incroyablement furtif a été découvert par des chercheurs en cybersécurité. Les premiers échantillons de la menace, nommés Symbiote, remontent à novembre 2021 et ses cibles présumées seraient des institutions bancaires ou financières d'Amérique latine. Des détails sur ce logiciel malveillant jusque-là inconnu ont été publiés dans un rapport conjoint de l'équipe BlackBerry Threat Research & Intelligence et du chercheur en sécurité d'Inteze Joakim Kennedy.

Selon leurs conclusions, Symbiote diffère considérablement des autres menaces de logiciels malveillants Linux qui tentent de compromettre les processus déjà en cours d'exécution. Cependant, Symbiote est conçu pour agir comme une bibliothèque d'objets partagés (SO) que tous les processus en cours d'exécution chargent via LD_PRELOAD. Une fois qu'elle a été entièrement établie sur la machine compromise, la menace est capable de fournir des fonctionnalités presque au niveau du rootkit. Pour masquer sa présence, Symbiote accroche des fonctions spécifiques, telles que libc et libpcap .

De plus, en accrochant la fonction de lecture libc , la menace peut récupérer les informations d'identification de l'appareil infecté, tandis que l'utilisation du module d'authentification enfichable Linux (PAM) lui permet de donner des fonctions d'accès à distance aux acteurs de la menace. Quant au trafic suspect généré par la menace, il est masqué par l'utilisation du hooking BPF (Berkeley Packet Filter).

Les chercheurs ont également pu confirmer que certains noms de domaine associés à Symbiote étaient conçus pour se faire passer pour des banques brésiliennes légitimes. De plus, un serveur lié au malware a été créé à dessein pour imiter la page de la police fédérale du Brésil.