Genérico 1min de Leitura - 22 de junio de 2022

Symbiote: nuevo malware dirigido a los sistemas Linux

symbiote linux

This post is also available in: Português Español

SYMBIOTE es un nuevo malware que se ha observado infectando todos los procesos que se ejecutan en sistemas Linux. El malware ha estado en desarrollo activo desde el año pasado.

Symbiote fue analizado por BlackBerry e Interezer Labs,quienes descubrieron varios aspectos técnicos del malware. Después infectar, el malware roba las credenciales de la cuenta y da acceso backdoor a sus operadores.

El malware no deja rastros identificables de infección, incluso durante una inspección minuciosa por parte de expertos.

La amenaza hace uso de la funcionalidad de hooking de Berkeley Packet Filter (BPF) para detectar paquetes de datos de red y ocultar sus propios canales de comunicación de las herramientas de seguridad.

Lo utilizan para recopilar de forma automatizada credenciales de dispositivos Linux hackeados. El robo de credenciales administrativas permite el movimiento lateral, sin ningún tipo de obstrucción, y acceso a sistemas infectados.

Sus principales objetivos incluyen el sector financiero en América Latina y la Policía Federal en Brasil. Además, los nombres de dominio utilizados por el malware Symbiote se hacen pasar por bancos brasileños grandes.

Detección de fugas

Si un administrador inicia una captura de paquetes en la máquina infectada para investigar, Symbiote se inyecta en el proceso del software de inspección y usa el hooking BPF para filtrar los paquetes maliciosos.

Para ocultar su actividad de red en la máquina infectada, el malware elimina las entradas de conexión, realiza el filtrado de paquetes a través de BPF y elimina el tráfico UDP.

Symbiote puede conectar funciones libc y libpcap y realizar diferentes acciones para ocultar su presencia, como ocultar procesos parásitos y ocultar archivos entregados con malware.

Protéjase

El Symbiote es muy evasivo y se enfoca en capturar credenciales y facilitar el acceso backdoor. Por lo tanto, los expertos sugieren que los administradores utilicen la telemetría de red para identificar solicitudes de DNS anómalas. Además, implemente soluciones confiables de detección y respuesta antimalware y de endpoint para reducir el riesgo de estas amenazas.

This post is also available in: Português Español