❤️ Adquiere tu membresía:  Contenidos protegidos, manuales y videos >> Ver Más

Symbiote, el nuevo malware “indetectable” que amenaza a Linux

Un nuevo malware para Linux recientemente descubierto conocido como Symbiote puede infectar todos los procesos en ejecución en los sistemas comprometidos. El malware puede robar las credenciales de la cuenta y brinda a sus operadores acceso de puerta trasera.

Después de inyectarse en todos los procesos en ejecución, el malware actúa como un parásito en todo el sistema, sin dejar signos identificables de infección, incluso durante inspecciones meticulosas y minuciosas.

Symbiote utiliza la funcionalidad de enlace BPF (Berkeley Packet Filter). BPF le permite detectar paquetes de datos de red y ocultar sus propios canales de comunicación de las herramientas de seguridad.

Esta nueva amenaza fue descubierta y analizada por investigadores de BlackBerry e Intezer Labs. Los investigadores trabajaron juntos para descubrir todos los aspectos del nuevo malware en un informe técnico detallado. Según ellos, Symbiote ha estado en desarrollo activo desde el año pasado. 

Infección en todo el sistema a través de objetos compartidos

En lugar de tener la forma típica de un ejecutable, Symbiote es una biblioteca de objetos compartidos (SO) que se carga en procesos en ejecución mediante la directiva LD_PRELOAD para obtener prioridad frente a otros SOs.

Al ser el primero en cargarse, Symbiote puede conectar las funciones “libc” y “libpcap” y realizar varias acciones para ocultar su presencia. Por ejemplo, ocultar procesos parásitos, ocultar archivos implementados con el malware y más.

Todos los trucos de encubrimiento utilizados por Symbiote

“Cuando se inyecta en los procesos, el malware puede elegir qué resultados muestra”, revelaron los investigadores de seguridad en un informe publicado hoy .

“Si un administrador inicia una captura de paquetes en la máquina infectada para investigar algún tráfico de red sospechoso, Symbiote se inyecta en el proceso del software de inspección y usa el enlace BPF para filtrar los resultados que revelarían su actividad”.

Para ocultar su actividad maliciosa en la máquina comprometida, Symbiote elimina los registros de conexión que desea ocultar. Además, realiza el filtrado de paquetes a través de BPF y elimina el tráfico UDP a los nombres de dominio en su lista.

Puertas traseras y robo de datos

Este nuevo y sigiloso malware se utiliza principalmente para la recolección automatizada de credenciales de dispositivos Linux hackeados.

Esta es una misión crucial cuando se trata de servidores Linux en redes de alto valor. Recordemos que el robo de credenciales de cuentas de administrador abre el camino a un movimiento lateral sin obstrucciones y acceso ilimitado a todo el sistema.

Los objetivos del malware son en su mayoría entidades involucradas en el sector financiero en América Latina.

“Dado que el malware funciona como un rootkit a nivel de usuario, detectar una infección puede ser difícil”, concluyeron los investigadores.

Se espera que estas amenazas avanzadas y altamente evasivas utilizadas en los ataques contra los sistemas Linux aumenten significativamente. 

Solo el mes pasado, se detectó otra  puerta trasera similar llamada BPFDoor  usando BPF (Berkeley Packet Filter). Esta puerta trasera usa BPF para escuchar pasivamente el tráfico de red entrante y saliente en los hosts infectados.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información