Los investigadores de seguridad cibernética han descubierto lo que llaman un malware de Linux «casi imposible de detectar» que podría usarse como arma para sistemas infectados de puerta trasera.
Doblado simbionte por las firmas de inteligencia de amenazas BlackBerry e Intezer, el malware sigiloso se llama así por su capacidad para ocultarse dentro de los procesos en ejecución y el tráfico de la red y drenar los recursos de la víctima como un parásito.
Se cree que los operadores detrás de Symbiote comenzaron a desarrollar el malware en noviembre de 2021, y el actor de amenazas lo usó predominantemente para apuntar al sector financiero en América Latina, incluidos bancos como Banco do Brasil y Caixa.
«El objetivo principal de Symbiote es capturar credenciales y facilitar el acceso de puerta trasera a la máquina de una víctima», dijeron los investigadores Joakim Kennedy e Ismael Valenzuela en un reporte compartido con The Hacker News. «Lo que diferencia a Symbiote de otros programas maliciosos de Linux es que infecta los procesos en ejecución en lugar de utilizar un archivo ejecutable independiente para infligir daños».
Logra esto aprovechando una característica nativa de Linux llamada LD_PRECARGA — un método empleado anteriormente por malware como Pro-Ocean y Facefish — para que lo cargue el enlazador dinámico en todos los procesos en ejecución e infectar el host.
Además de ocultar su presencia en el sistema de archivos, Symbiote también es capaz de encubrir el tráfico de su red haciendo uso de la función ampliada Berkeley Packet Filter (eBPF). Esto se lleva a cabo inyectándose en el proceso de un software de inspección y utilizando BPF para filtrar los resultados que descubrirían su actividad.
Al secuestrar todos los procesos en ejecución, Symbiote habilita la funcionalidad de rootkit para ocultar aún más la evidencia de su presencia y proporciona una puerta trasera para que el actor de amenazas inicie sesión en la máquina y ejecute comandos privilegiados. También se ha observado almacenar las credenciales capturadas cifradas en archivos que se hacen pasar por Encabezado C archivos
Esta no es la primera vez que se detecta un malware con capacidades similares en la naturaleza. En febrero de 2014, ESET reveló una puerta trasera de Linux llamada Ebury que está diseñado para robar las credenciales de OpenSSH y mantener el acceso a un servidor comprometido.
«Dado que el malware funciona como un rootkit a nivel de usuario, detectar una infección puede ser difícil», concluyeron los investigadores. «La telemetría de red se puede utilizar para detectar solicitudes de DNS anómalas y las herramientas de seguridad, como AV y EDR, deben vincularse estáticamente para garantizar que no estén ‘infectadas’ por rootkits de usuario».