El malware Symbiote Linux utiliza técnicas sofisticadas para ocultar y robar credenciales

El malware Symbiote Linux utiliza técnicas sofisticadas para ocultar y robar credenciales

Una forma de malware descubierta recientemente que infecta los sistemas Linux utiliza técnicas sofisticadas para ocultar y robar credenciales.

Como fue detallado por investigadores de BlackBerry Ltd., el malware “Symbiote”, previamente indetectable, actúa de forma parasitaria, ya que necesita infectar otros procesos en ejecución para infligir daños en las máquinas infectadas. Symbiote no es un archivo ejecutable independiente que se ejecuta para infectar una máquina, sino una biblioteca de objetos compartidos que se carga en todos los procesos en ejecución para infectar l. a. máquina.

Una vez que Symbiote ha infectado todos los procesos en ejecución, ofrece l. a. funcionalidad de rootkit del atacante con l. a. capacidad de recolectar credenciales y capacidad de acceso remoto.

Symbiote se detectó por primera vez en noviembre de 2021 y se escribió inicialmente para apuntar al sector financiero en América Latina. Tras una infección exitosa, Symbiote se oculta a sí mismo y a cualquier otro malware implementado, lo que dificulta l. a. detección de infecciones. Difícil puede ser una subestimación: según los investigadores, realizar análisis forenses en vivo en un infectado puede no revelar nada, ya que todos los archivos, procesos y artefactos de crimson están ocultos por el malware.

El malware dirigido a los sistemas Linux no es nuevo, pero se cube que las técnicas sigilosas utilizadas por Symbiote lo hacen destacar. El enlazador carga el malware a través de l. a. directiva LD_PRELOAD, lo que permite que se cargue antes que cualquier otro objeto compartido. Dado que se carga primero, puede “secuestrar las importaciones” de los otros archivos de l. a. biblioteca cargados para l. a. aplicación. Symbiote u.s. esto para ocultar su presencia en l. a. máquina conectando las funciones libc y libpcap.

Para recolectar credenciales, Symbiote engancha l. a. función de lectura de libc. Si un proceso ssh o scp llama a l. a. función, captura las credenciales. Las credenciales primero se cifran con el cifrado de flujo RC4 utilizando una clave incrustada y luego se escriben en un archivo. Luego, el atacante extrae las credenciales cifradas.

“Dado que el malware funciona como un rootkit a nivel de usuario, detectar una infección puede ser difícil”, concluyen los investigadores. “Los angeles telemetría de crimson se puede utilizar para detectar solicitudes de DNS anómalas y las herramientas de seguridad, como antivirus y detección y respuesta de puntos finales, deben vincularse estáticamente para garantizar que no estén ‘infectados’ por rootkits de usuario”.

Foto: pixabay

Muestre su apoyo a nuestra misión uniéndose a nuestra comunidad de expertos Dice Membership y Dice Match. Únase a l. a. comunidad que incluye Amazon Internet Products and services y el CEO de Amazon.com, Andy Jassy, ​​el fundador y CEO de Dell Applied sciences, Michael Dell, el CEO de Intel, Pat Gelsinger, y muchas más luminarias y expertos.

Pasaporte En Linea