Los investigadores de seguridad cibern\u00e9tica han descubierto lo que llaman un malware de Linux “casi imposible de detectar” que podr\u00eda usarse como arma para sistemas infectados de puerta trasera.<\/p>\n
Doblado simbionte<\/strong> por las firmas de inteligencia de amenazas BlackBerry e Intezer, el malware sigiloso se llama as\u00ed por su capacidad para ocultarse dentro de los procesos en ejecuci\u00f3n y el tr\u00e1fico de la red y drenar los recursos de la v\u00edctima como un par\u00e1sito<\/a>.<\/p>\n Se cree que los operadores detr\u00e1s de Symbiote comenzaron a desarrollar el malware en noviembre de 2021, y el actor de amenazas lo us\u00f3 predominantemente para apuntar al sector financiero en Am\u00e9rica Latina, incluidos bancos como Banco do Brasil y Caixa.<\/p>\n “El objetivo principal de Symbiote es capturar credenciales y facilitar el acceso de puerta trasera a la m\u00e1quina de una v\u00edctima”, dijeron los investigadores Joakim Kennedy e Ismael Valenzuela en un reporte<\/a> compartido con The Hacker News. “Lo que diferencia a Symbiote de otros programas maliciosos de Linux es que infecta los procesos en ejecuci\u00f3n en lugar de utilizar un archivo ejecutable independiente para infligir da\u00f1os”.<\/p>\n Logra esto aprovechando una caracter\u00edstica nativa de Linux llamada LD_PRECARGA<\/a> \u2014 un m\u00e9todo empleado anteriormente por malware como Pro-Ocean y Facefish \u2014 para que lo cargue el enlazador din\u00e1mico<\/a> en todos los procesos en ejecuci\u00f3n e infectar el host.<\/p>\n Adem\u00e1s de ocultar su presencia en el sistema de archivos, Symbiote tambi\u00e9n es capaz de encubrir el tr\u00e1fico de su red haciendo uso de la funci\u00f3n ampliada Berkeley Packet Filter (eBPF). Esto se lleva a cabo inyect\u00e1ndose en el proceso de un software de inspecci\u00f3n y utilizando BPF para filtrar los resultados que descubrir\u00edan su actividad.<\/p>\n Al secuestrar todos los procesos en ejecuci\u00f3n, Symbiote habilita la funcionalidad de rootkit para ocultar a\u00fan m\u00e1s la evidencia de su presencia y proporciona una puerta trasera para que el actor de amenazas inicie sesi\u00f3n en la m\u00e1quina y ejecute comandos privilegiados. Tambi\u00e9n se ha observado almacenar las credenciales capturadas cifradas en archivos que se hacen pasar por Encabezado C<\/a> archivos<\/p>\n Esta no es la primera vez que se detecta un malware con capacidades similares en la naturaleza. En febrero de 2014, ESET revel\u00f3 una puerta trasera de Linux llamada Ebury<\/a> que est\u00e1 dise\u00f1ado para robar las credenciales de OpenSSH y mantener el acceso a un servidor comprometido.<\/p>\n “Dado que el malware funciona como un rootkit a nivel de usuario, detectar una infecci\u00f3n puede ser dif\u00edcil”, concluyeron los investigadores. “La telemetr\u00eda de red se puede utilizar para detectar solicitudes de DNS an\u00f3malas y las herramientas de seguridad, como AV y EDR, deben vincularse est\u00e1ticamente para garantizar que no est\u00e9n ‘infectadas’ por rootkits de usuario”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/Fronton-botnet-ruso-de-IoT-disenado-para-ejecutar-campanas-de.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1654779176_228_Symbiote-un-malware-sigiloso-de-Linux-dirigido-al-sector-financiero.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n