Este nuevo malware para Linux es 'casi imposible' de detectar

Imagen: Getty Images/iStockphoto Un esfuerzo de investigación conjunto ha llevado al descubrimiento de Symbiote, una nueva forma de malware de Linux que es "casi imposible" de detectar. El jueves, los investigadores del equipo BlackBerry Threat Research & Intelligence, junto con el investigador de seguridad de Intezer, Joakim Kennedy, publicaron una entrada de blog sobre el malware, denominado Symbiote debido a su "naturaleza parasitaria". Seguridad Ciberseguridad 101: Proteja su privacidad de piratas informáticos, espías y el gobierno Unos simples pasos pueden marcar la diferencia entre perder sus cuentas en línea o mantener lo que ahora es un bien preciado: su privacidad.
Leer ahora El equipo descubrió Symbiote hace varios meses. Symbiote difiere del típico malware de Linux actual, que normalmente intentará comprometer los procesos en ejecución y, en cambio, actúa como una biblioteca de objetos compartidos (SO) que se carga en todos los procesos en ejecución a través de LD_PRELOAD. VER: No permita que sus opciones de ciberseguridad en la nube dejen la puerta abierta a los piratas informáticos La biblioteca de objetos compartidos compromete "parasitariamente" una máquina de destino, dicen los investigadores, y una vez que sus garras están profundamente incrustadas en el sistema, el malware proporciona a los atacantes la funcionalidad de rootkit.
La primera muestra data de noviembre de 2021 y parece haber sido desarrollada para apuntar a instituciones financieras en América Latina. Sin embargo, como el malware es nuevo y muy evasivo, los investigadores no están seguros de si Symbiote se está utilizando en ataques dirigidos o amplios, en todo caso. Symbiote tiene varias características interesantes.
Por ejemplo, el malware utiliza el enganche Berkeley Packet Filter (BPF), una función diseñada para ocultar el tráfico malicioso en una máquina infectada. BPF también es utilizado por malware desarrollado por Equation Group. "Cuando un administrador inicia cualquier herramienta de captura de paquetes en la máquina infectada, el código de bytes BPF se inyecta en el kernel que define qué paquetes se deben capturar", explicó BlackBerry.
"En este proceso, Symbiote agrega primero su código de bytes para que pueda filtrar el tráfico de red que no quiere que vea el software de captura de paquetes". Uno de los elementos más impresionantes del malware de Linux es el sigilo. El malware se carga previamente antes que otros objetos compartidos, lo que le permite conectar funciones específicas, incluidas libc y libpcap, para ocultar su presencia.
Otros archivos asociados con Symbiote también se ocultan y sus entradas de red se borran continuamente. Además, Symbiote puede recopilar credenciales al conectar la función de lectura de libc y facilita el acceso remoto al conectar las funciones del módulo de autenticación conectable (PAM) de Linux. Los nombres de dominio asociados con Symbiote se hacen pasar por los principales bancos brasileños y otro servidor vinculado se hace pasar por la Policía Federal de Brasil.
Se cargó una muestra del malware en VirusTotal con el nombre certbotx64. El equipo sospecha que, dado que los envíos se realizaron antes de que la infraestructura principal del malware se conectara, las cargas podrían haber sido con fines antivirus y de prueba de detección. "Cuando analizamos las muestras por primera vez con Intezer Analyze, solo se detectó un código único", dicen los investigadores.
"Dado que Symbiote y Ebury/Windigo o cualquier otro malware [Linux] conocido no comparten código, podemos concluir que Symbiote es un nuevo malware de Linux no descubierto". ¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0 Seguridad Cómo cifrar su correo electrónico (y por qué debería hacerlo) 5 cosas que probablemente esté haciendo mal para proteger su nube Cómo detener rápidamente los mensajes de spam en tu iPhone Las mejores VPN para Android: ¿cuál es la adecuada para ti? Cómo borrarse de los resultados de búsqueda y ocultar su identidad en línea.