El nuevo malware de Symbiote puede infectar todos los procesos que se ejecutan en computadoras con Linux

El malware de Linux recientemente descubierto llamado Symbiote representa una gran amenaza para la comunidad de usuarios. La razón es que Symbiote tiene la capacidad de infectar todos los procesos que se ejecutan en el sistema comprometido, robar las credenciales de la cuenta y otros datos y luego devolvérselo a su propietario.

Después de infectar los procesos en ejecución, Symbiote actúa como un parásito en todo el sistema, sin dejar señales de que la computadora esté infectada. Incluso el examen más minucioso y minucioso no puede encontrarlo.

Symbiote utiliza la conectividad BPF (Berkeley Packet Filter) para monitorear los paquetes de red y ocultar sus propios canales de comunicación de las herramientas de seguridad.

Los investigadores de seguridad de BlackBerry e Intezer Labs descubrieron la existencia de Symbiote. Trabajaron en estrecha colaboración para estudiar todos los aspectos de este código malicioso, que luego se publicó en un informe técnico detallado. Según ellos, Symbiote se ha estado desarrollando activamente desde el año pasado.

Imagen 1 del malware New Symbiote puede infectar todos los procesos que se ejecutan en computadoras Linux

Infección en todo el sistema a través de objetos compartidos

El código malicioso a menudo se distribuye a través de archivos ejecutables. Sin embargo, Symbiote es una biblioteca de objetos compartidos (SO) que se carga en procesos en ejecución mediante la directiva LD_PRELOAD para tener prioridad sobre otros SO.

Dado que se carga primero, Symbiote puede conectarse a las funciones "libc" y "libpcap" y realizar varias acciones para enmascarar su presencia, como ocultar procesos parásitos, ocultar archivos implementados con malware.

"Debido a que infecta procesos, el código malicioso puede elegir qué resultados mostrar ", Dijeron los investigadores. "Si el administrador comienza a recopilar paquetes en la máquina infectada para investigar el tráfico de red anormal, Symbiote se unirá al proceso de prueba del software y utilizará la conectividad BPF para filtrar los resultados". .

Para ocultar su actividad de red maliciosa, Symbiote elimina los registros de conexión que desea ocultar, filtra los paquetes a través de BPF y descarta el tráfico UDP a los dominios de su lista.

Puerta trasera y robo de datos

Symbiote se usa principalmente para robar en secreto credenciales de máquinas Linux pirateadas. Al apuntar a los servidores Linux correctos en grandes organizaciones, Symbiote causará serios problemas. Si se roba la contraseña del administrador, la ruta de infección entre pares no se bloqueará y el hacker también tendrá acceso ilimitado a todo el sistema.

Además, Symbiote proporciona al atacante acceso SHH remoto a la máquina a través del servicio PAM y proporciona un método para que el atacante obtenga privilegios de root en el sistema.

Symbiote apunta a entidades financieras en América Latina, haciéndose pasar por bancos y la policía federal brasileña.

Debido a la forma compleja de infección, los simbiontes son difíciles de detectar. Por lo tanto, los administradores deben prestar más atención al tráfico de red. La telemetría de red se puede usar para detectar consultas de DNS inusuales y las herramientas de seguridad, como el software antivirus, y la detección y respuesta de punto final (EDR) deben estar vinculadas estáticamente para garantizar que no estén infectadas con código malicioso.

Los expertos predicen que en un futuro cercano la cantidad de ataques evitables maliciosos, así como Symbiote, aumentará significativamente, por lo que los administradores e ingenieros de seguridad deben preparar planes de prevención y respuesta.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!