Un malware para Linux recientemente descubierto, conocido como Symbiote, infecta todos los procesos en ejecución de los sistemas comprometidos, roba las credenciales de las cuentas y da a sus operadores acceso de puerta trasera.
Después de inyectarse en todos los procesos en ejecución, el malware actúa como un parásito en todo el sistema, sin dejar signos identificables de la infección, incluso durante las inspecciones meticulosas en profundidad.
Symbiote utiliza la funcionalidad de enganche BPF (Berkeley Packet Filter) para olfatear los paquetes de datos de la red y ocultar sus propios canales de comunicación de las herramientas de seguridad.
Esta novedosa amenaza fue descubierta y analizada por investigadores de BlackBerry y de Intezer Labs, que trabajaron juntos para descubrir todos los aspectos del nuevo malware en un detallado informe técnico. Según ellos, Symbiote ha estado en desarrollo activo desde el año pasado.
Para ocultar su actividad de red maliciosa en la máquina comprometida, Symbiote borra las entradas de conexión que quiere ocultar, realiza el filtrado de paquetes a través de BPF y elimina el tráfico UDP a los nombres de dominio de su lista.
Este nuevo y sigiloso malware se utiliza principalmente para la recolección automática de credenciales de los dispositivos Linux hackeados, enganchando la función “libc read”.
Esta es una misión crucial cuando se ataca a servidores Linux en redes de alto valor, ya que el robo de credenciales de cuentas de administrador abre el camino a un movimiento lateral sin obstáculos y al acceso ilimitado a todo el sistema.
Symbiote también da a sus operadores acceso remoto SHH a la máquina a través del servicio PAM, mientras que también proporciona una manera para que el actor de la amenaza obtenga privilegios de root en el sistema.
Los objetivos del malware son en su mayoría entidades del sector financiero en América Latina, haciéndose pasar por bancos brasileños, la policía federal del país, etc.
Se espera que este tipo de amenazas avanzadas y altamente evasivas utilizadas en los ataques contra los sistemas Linux aumenten significativamente en el próximo período, ya que las grandes y valiosas redes corporativas utilizan ampliamente esta arquitectura.
Info – Ciberseguridad Latam