E o número de ameaças cibernéticas para Linux não para de crescer. Dentro deste contexto, acaba de ser descoberto o Symbiote, um malware para Linux quase impossível de detectar. Assim, esse malware corrompe todos os programas abertos e os impede de ‘denunciar’. Portanto, vai se desfazendo a imagem de um sistema operacional quase impossível de ser atacado por esse tipo de problema.
Porém, o Symbiote, cuja existência acaba de ser anunciada, é um caso extremo de sofisticação para contornar os métodos tradicionais de detecção. Apesar de sua identificação recente, os especialistas estimam que seja usado por cibercriminosos desde pelo menos novembro de 2021 e que já tenha sido usado contra entidades do setor financeiro ibero-americano.
Em tese, seu nome vem de sua capacidade de executar sem executáveis, simplesmente ‘injetando-se’ em processos em execução e tornando-os maliciosos. Isso é possível porque a carga ‘viral’ reside em uma biblioteca com extensão .SO , que os processos carregam porque os invasores usaram anteriormente a variável de ambiente LD_PRELOAD .
Dado que, segundo os biólogos, a simbiose é uma relação de dependência entre dois seres vivos que beneficia a ambos, tudo indica que os especialistas em segurança cibernética que a batizaram estavam pensando, sim, nos simbiontes da saga ‘Venom’ , da Marvel, entidades alienígenas capaz de possuir seu hospedeiro.
Symbiote é um malware para Linux quase impossível de detectar
Além das questões zoológicas, sua maneira de infectar processos é relevante porque permite interceptar qualquer chamada para um comando que possa revelar sua presença (como ‘ldd’) e alterar sua saída para se esconder.
Mas ainda assim: o Symbiote foi projetado para permitir que ele esconda a presença de qualquer outro malware que os invasores possam querer usar em combinação com ele. Assim, ele também remove referências a ‘certbotx64’, ‘certbotx86’, ‘javautils’, ‘javaserverx64’, ‘javaclientx64’ e ‘javanodex8’ da saída ‘ldd’.
E não termina aí: ele também é capaz de ocultar sua atividade de rede interceptando chamadas para as funções /proc/net/tcp e libpcap e excluindo referências a quaisquer conexões a portas específicas que seus criadores lhe digam.
Mas além de sua capacidade de ocultar a si mesmo e a outros malwares, o objetivo do Symbiote é fornecer um backdoor que permita aos invasores acessar remotamente (e com privilégios de root) o sistema infectado e acessar o arquivo com as credenciais que , por outro lado, o Symbiote terá coletado cada vez que o usuário se autentica.
Os pesquisadores notaram paralelos entre algumas das técnicas usadas pelo Symbiote e as de um malware Linux mais antigo chamado Ebury . No entanto, eles conseguiram verificar que há pouco código compartilhado entre os dois , o que sugere que o Symbiote é uma nova classe de malware, que não havia sido detectada até agora.
Via | OSC on-line