Terms & Conditions

We have Recently updated our Terms and Conditions. Please read and accept the terms and conditions in order to access the site

Current Version: 1

Privacy Policy

We have Recently updated our Privacy Policy. Please read and accept the Privacy Policy in order to access the site

Current Version: 1

Segurança & Privacidade

Symbiote: Um malware Linux direcionado ao setor financeiro

0:00

Pesquisadores de cibersegurança tiraram os envoltórios do que eles chamam de um malware Linux “quase impossível de detectar” que poderia ser armado para sistemas infectados por backdoor.

Apelidado de Symbiote pelas empresas de inteligência de ameaças BlackBerry e Intezer, o malware furtivo é assim nomeado por sua capacidade de se esconder dentro de processos de execução e tráfego de rede e drenar os recursos da vítima como um parasita.

Acredita-se que as operadoras por trás da Symbiote tenham iniciado o desenvolvimento do malware em novembro de 2021, com o ator de ameaça usando-o predominantemente para atingir o setor financeiro na América Latina, incluindo bancos como o Banco do Brasil e a Caixa.

O Malware

“O principal objetivo da Symbiote é capturar credenciais e facilitar o acesso backdoor à máquina da vítima”, disseram os pesquisadores Joakim Kennedy e Ismael Valenzuela em um relatório compartilhado com o The Hacker News. “O que torna o Symbiote diferente de outros malwares Linux é que ele infecta processos em execução em vez de usar um arquivo executável autônomo para infligir danos.”

Ele consegue isso aproveitando um recurso nativo do Linux chamado LD_PRELOAD — um método anteriormente empregado por malwares como Pro-Ocean e Facefish — de modo a ser carregado pelo linker dinâmico em todos os processos em execução e infectar o host.

Como ele age na vítima

Além de ocultar sua presença no sistema de arquivos, o Symbiote também é capaz de camuflar seu tráfego de rede, fazendo uso do recurso eBPF (EBPF). Isso é realizado injetando-se no processo de um software de inspeção e usando bpf para filtrar resultados que descobririam sua atividade.

image 12

Ao sequestrar todos os processos em execução, o Symbiote permite que a funcionalidade rootkit esconda ainda mais evidências de sua existência e fornece um backdoor para o ator de ameaças fazer login na máquina e executar comandos privilegiados. Também foi observado armazenando credenciais capturadas criptografadas em arquivos disfarçados de arquivos de cabeçalho C.

Esta não é a primeira vez que um malware com recursos semelhantes é visto na natureza. Em fevereiro de 2014, a ESET revelou um backdoor Linux chamado Ebury que foi construído para roubar credenciais do OpenSSH e manter o acesso a um servidor comprometido.

Além disso, a divulgação chega quase um mês depois que surgiram detalhes sobre um implante passivo baseado em Linux evasivo chamado BPFDoor que carrega um farejador de Filtro de Pacotes de Berkeley (BPF) para monitorar o tráfego de rede e iniciar um shell de ligação enquanto ignora as proteções de firewall.

Nelsir Luterek

Empresário, colunista, especialista em TI, mentor, CTO e consultor estratégico em inovação.

Artigos relacionados

Botão Voltar ao topo
X