O novo malware, quase impossível de detectar, no Linux

Na última quinta-feira, 7, pesquisadores da equipe BlackBerry Threat Research & Intelligence, juntamente com o pesquisador de segurança da Intezer Joakim Kennedy, publicaram sobre uma nova forma de malware no Linux que é "quase impossível" de detectar – apelidado de Symbiote por causa de sua “natureza parasitária”.

Na última quinta-feira, 7, pesquisadores da equipe BlackBerry Threat Research & Intelligence, juntamente com o pesquisador de segurança da Intezer Joakim Kennedy, publicaram sobre uma nova forma de malware no Linux que é “quase impossível” de detectar – apelidado de Symbiote por causa de sua “natureza parasitária”.

A equipe descobriu o Symbiote há vários meses. O Symbiote difere do malware Linux típico de hoje, que normalmente tenta comprometer os processos em execução e, em vez disso, atua como uma biblioteca de objetos compartilhados que é carregada em todos os processos em execução via LD_PRELOAD.

A biblioteca de objetos compartilhados “parasita” compromete uma máquina alvo, dizem os pesquisadores, e uma vez que suas garras estão profundamente inseridas no sistema, o malware fornece aos invasores a funcionalidade de rootkit

A primeira amostra, realizada em novembro de 2021, parece ter sido desenvolvida para atingir instituições financeiras na América Latina. No entanto, como o malware é novo e muito evasivo, os pesquisadores não têm certeza se o Symbiote está sendo usado em ataques direcionados ou amplos. 

Symbiote tem vários recursos interessantes. Por exemplo, o malware usa o hooking Berkeley Packet Filter (BPF), uma função projetada para ocultar o tráfego malicioso em uma máquina infectada. O BPF também é usado por malware desenvolvido pelo Equation Group. 

“Quando um administrador inicia qualquer ferramenta de captura de pacotes na máquina infectada, o bytecode BPF é injetado no kernel que define quais pacotes devem ser capturados”, explicaram os pesquisadores da BlackBerry. “Neste processo, o Symbiote adiciona seu bytecode primeiro para que possa filtrar o tráfego de rede que não deseja que o software de captura de pacotes veja”.

Um dos elementos mais impressionantes do malware Linux é a discrição. O malware é pré-carregado antes de outros objetos compartilhados, permitindo que ele capture funções específicas – incluindo libc e libpcap – para ocultar sua presença. Outros arquivos associados ao Symbiote também são ocultados e suas entradas de rede são continuamente limpas. 

Além disso, o Symbiote é capaz de coletar credenciais conectando a função libc read e facilita o acesso remoto conectando as funções do Linux Pluggable Authentication Module (PAM). 

Os nomes de domínio associados ao Symbiote representam os principais bancos brasileiros e outro servidor vinculado disfarçado de Polícia Federal do Brasil.

Uma amostra do malware foi carregada no VirusTotal com o nome certbotx64. A equipe suspeita que, como os envios foram feitos antes da infraestrutura principal do malware ficar online, os uploads podem ter sido para fins de antivírus e teste de detecção.

“Quando analisamos as amostras pela primeira vez com o Intezer Analyze, apenas um código único foi detectado”, dizem os pesquisadores. “Como nenhum código é compartilhado entre Symbiote e Ebury/Windigo ou qualquer outro malware conhecido [Linux], podemos concluir com confiança que o Symbiote é um malware Linux novo e não descoberto”.

Fonte: zdnet.com/

Posts relacionados: Malware no Android OS se disfarça de Anti-vírus para roubar senhas / Arquivos de ajuda da Microsoft disfarçam o malware Vidar e Novo malware se esconde entre as exclusões do Windows Defender para evitar detecção