Symbiote, el nuevo malware “indetectable” que amenaza a Linux
Un nuevo malware para Linux recientemente descubierto conocido como Symbiote puede infectar todos los procesos en ejecución en los sistemas comprometidos. El malware puede robar las credenciales de la cuenta y brinda a sus operadores acceso de puerta trasera.
Después de inyectarse en todos los procesos en ejecución, el malware actúa como un parásito en todo el sistema, sin dejar signos identificables de infección, incluso durante inspecciones meticulosas y minuciosas.
Symbiote utiliza la funcionalidad de enlace BPF (Berkeley Packet Filter). BPF le permite detectar paquetes de datos de red y ocultar sus propios canales de comunicación de las herramientas de seguridad.
Esta nueva amenaza fue descubierta y analizada por investigadores de BlackBerry e Intezer Labs. Los investigadores trabajaron juntos para descubrir todos los aspectos del nuevo malware en un informe técnico detallado. Según ellos, Symbiote ha estado en desarrollo activo desde el año pasado.
Infección en todo el sistema a través de objetos compartidos
En lugar de tener la forma típica de un ejecutable, Symbiote es una biblioteca de objetos compartidos (SO) que se carga en procesos en ejecución mediante la directiva LD_PRELOAD
para obtener prioridad frente a otros SOs.
Al ser el primero en cargarse, Symbiote puede conectar las funciones “libc” y “libpcap” y realizar varias acciones para ocultar su presencia. Por ejemplo, ocultar procesos parásitos, ocultar archivos implementados con el malware y más.
“Cuando se inyecta en los procesos, el malware puede elegir qué resultados muestra”, revelaron los investigadores de seguridad en un informe publicado hoy .
“Si un administrador inicia una captura de paquetes en la máquina infectada para investigar algún tráfico de red sospechoso, Symbiote se inyecta en el proceso del software de inspección y usa el enlace BPF para filtrar los resultados que revelarían su actividad”.
Para ocultar su actividad maliciosa en la máquina comprometida, Symbiote elimina los registros de conexión que desea ocultar. Además, realiza el filtrado de paquetes a través de BPF y elimina el tráfico UDP a los nombres de dominio en su lista.
Puertas traseras y robo de datos
Este nuevo y sigiloso malware se utiliza principalmente para la recolección automatizada de credenciales de dispositivos Linux hackeados.
Esta es una misión crucial cuando se trata de servidores Linux en redes de alto valor. Recordemos que el robo de credenciales de cuentas de administrador abre el camino a un movimiento lateral sin obstrucciones y acceso ilimitado a todo el sistema.
Los objetivos del malware son en su mayoría entidades involucradas en el sector financiero en América Latina.
“Dado que el malware funciona como un rootkit a nivel de usuario, detectar una infección puede ser difícil”, concluyeron los investigadores.
Se espera que estas amenazas avanzadas y altamente evasivas utilizadas en los ataques contra los sistemas Linux aumenten significativamente.
Solo el mes pasado, se detectó otra puerta trasera similar llamada BPFDoor usando BPF (Berkeley Packet Filter). Esta puerta trasera usa BPF para escuchar pasivamente el tráfico de red entrante y saliente en los hosts infectados.