Um malware Linux apelidado de Symbiote foi observado por pesquisadores de segurança e está sendo considerado quase impossível de detectar. Segundo as análises realizadas, seu desenvolvimento teve como alvo sistemas financeiros da América Latina, incluindo bancos brasileiros, como Banco do Brasil e Caixa Econômica Federal.
Suas ações nocivas partem de infecções de backdoor, ou seja, por meio de portas de acesso alternativas existentes em um sistema, driblando a proteção e os usuários. Por conta exatamente desse potencial furtivo, o malware recebeu das empresas de inteligência de ameaças BlackBerry e Intezer o apelido de Symbiote (de simbionte).
“Na biologia, um simbionte é um organismo que vive em simbiose com outro organismo. A simbiose pode ser mutuamente benéfica para ambos os organismos, mas às vezes pode ser parasitária quando um se beneficia e o outro é prejudicado. Alguns meses atrás, descobrimos um novo malware não detectado que atua com essa natureza parasitária afetando os sistemas operacionais Linux. Chamamos apropriadamente esse malware de Symbiote”, explica o relatório trabalhado em conjunto pelas empresas.
O malware Linux pode se esconder dentro de processos em execução e tráfego de rede, além de drenar os recursos da vítima como um parasita. Acredita-se que os operadores por trás do Symbiote tenham iniciado o desenvolvimento do malware em novembro de 2021, com foco justamente no setor financeiro latino.
Infectando processos na raiz no Linux
Conforme traz o relatório, o que torna o Symbiote diferente de outros malwares Linux “é que ele precisa infectar outros processos em execução para causar danos às máquinas infectadas”. O agente nocivo explora um recurso nativo do Linux chamado LD_PRELOAD, para ser carregado pelo vinculador dinâmico (parte do Linux que vincula e carrega as bibliotecas compartilhadas individuais para um arquivo) em todos os processos em execução, e assim infectar o host.
Além de ocultar sua presença no sistema de arquivos, o Symbiote também é capaz de ocultar seu tráfego de rede usando um recurso que filtra resultados que revelariam sua atividade, após ele se injetar no processo de inspeção do software. Seus rastros ficam ainda mais ocultos depois que o malware faz uso de rootkits do sistema. Então, o Symbiote fornece um backdoor para o agente da ameaça fazer login na máquina e executar comandos privilegiados nos sistemas financeiros.
Em outras palavras, seu principal objetivo é capturar credenciais e facilitar o acesso de backdoor às máquinas das vítimas. “Como o malware opera como um rootkit de nível de usuário, detectar uma infecção pode ser difícil”, concluíram os pesquisadores.
Fonte: Olhar Digital
Comentários