This post is also available in: Português Español
Symbiote é um novo malware que foi observado infectando todos os processos em execução em sistemas Linux. O malware está em desenvolvimento ativo desde o ano passado.
O Symbiote foi analisado pelo BlackBerry e Interezer Labs, que descobriram vários aspectos técnicos do malware. Após a infecção, o malware rouba as credenciais da conta e dá acesso de backdoor aos seus operadores.
O malware não deixa vestígios identificáveis de infecção, mesmo durante uma inspeção detalhada por especialistas.
A ameaça faz uso da funcionalidade de hooking Berkeley Packet Filter (BPF) para detectar pacotes de dados de rede e ocultar seus próprios canais de comunicação das ferramentas de segurança.
Ele é usado para coleta automatizada de credenciais de dispositivos Linux invadidos. O roubo de credenciais administrativas permite movimento lateral, sem nenhum tipo de obstrução, e acesso aos sistemas infectados.
Seus principais alvos incluem o setor financeiro na América Latina e a Polícia Federal do Brasil. Além disso, os nomes de domínio usados pelo malware Symbiote fingem ser grandes bancos brasileiros.
Detecção de fuga
Se um administrador iniciar uma captura de pacotes na máquina infectada para investigar, o Symbiote se injeta dentro do processo do software de inspeção e usa o hooking BPF para filtrar os maliciosos.
Para ocultar sua atividade de rede na máquina infectada, o malware remove as entradas de conexão, realiza a filtragem de pacotes via BPF e remove o tráfego UDP.
O Symbiote pode conectar as funções libc e libpcap e realizar diferentes ações para ocultar sua presença, como ocultar processos parasitas e ocultar arquivos entregues com o malware.
Proteja-se
O Symbiote é altamente evasivo e se concentra em capturar credenciais e facilitar o acesso backdoor. Assim, os especialistas sugerem que os administradores usem a telemetria de rede para identificar solicitações de DNS anômalas. Além disso, implemente soluções confiáveis de detecção e resposta antimalware e endpoint para reduzir os riscos dessas ameaças.
This post is also available in: Português Español
