0
0
Um grupo de pesquisadores de segurança cibernética da BlackBerry e da Intezer descobriu um novo malware Linux que, de acordo com as empresas, seria “quase impossível de detectar”.
Apelidado de “Symbiote”, a ameaça pode ser armada para sistemas infectados por backdoor.
“O que torna o Symbiote diferente de outros malwares Linux que geralmente encontramos é que ele precisa infectar outros processos em execução para causar danos a máquinas infectadas”, escreveram BlackBerry e Intezer em uma postagem conjunta no blog.
Em outras palavras, em vez de ser um arquivo executável autônomo (que tradicionalmente tem que ser executado para infectar uma máquina), o Symbiote é uma biblioteca de objetos compartilhados (SO) que é carregada em todos os processos em execução.
“Uma vez infectado todos os processos em execução, ele fornece ao ator de ameaça a funcionalidade de rootkit, a capacidade de coletar credenciais e capacidade de acesso remoto”, escreveram os pesquisadores.
Além disso, a realização de análise forense ao vivo em uma máquina infectada pode não revelar nenhum vestígio de infecção, já que todos os arquivos, processos e artefatos de rede são automaticamente ocultos pelo malware.
Do ponto de vista técnico, o Symbiote usa a funcionalidade de conexão de filtro de pacotes berkeley (BPF) para ocultar o tráfego de rede malicioso em uma máquina infectada, fugindo das tentativas dos administradores de identificar e capturar pacotes suspeitos.
“Quando um administrador inicia qualquer ferramenta de captura de pacotes na máquina infectada, o bytecode BPF é injetado no kernel que define quais pacotes devem ser capturados”, diz o post.
“Neste processo, o Symbiote adiciona seu bytecode primeiro para que ele possa filtrar o tráfego de rede que não quer que o software de captura de pacotes veja.”
No entanto, os pesquisadores disseram que a telemetria de rede poderia ser usada para detectar solicitações anômalas de DNS.
O grupo também alertou a comunidade de segurança para garantir que ferramentas de segurança, como antivírus e detecção e resposta de terminais (EDR), estejam estaticamente ligadas para garantir que não sejam “infectadas” por rootkits userland.
Apesar de publicar apenas sua pesquisa esta semana, a equipe disse que detectou o malware pela primeira vez em novembro de 2021 em várias instituições financeiras da América Latina.
As alegações são baseadas no fato de que os nomes de domínio usados pelo malware Symbiote se passaram por alguns dos principais bancos brasileiros.
Embora a BlackBerry e a Intezer tenham dito que não poderiam confirmar a atribuição, eles disseram que o malware parecia ser uma ameaça totalmente nova.
“Quando analisamos as amostras pela primeira vez com o Intezer Analyze, apenas o código exclusivo foi detectado […] Como nenhum código é compartilhado entre Symbiote e Ebury/Windigo ou qualquer outro malware conhecido, podemos concluir com confiança que Symbiote é um novo malware Linux não descoberto.”
FONTE: INFOSECURITY MAGAZINE