Threat Database Linux Malware Symbiote Malware

Symbiote Malware

Eine unglaublich heimliche Linux-Malware wurde von Cybersicherheitsforschern entdeckt. Die frühesten Beispiele der Bedrohung mit dem Namen Symbiote stammen aus dem November 2021, wobei die beabsichtigten Ziele vermutlich Banken oder Finanzinstitute aus Lateinamerika sind. Details zu dieser bisher unbekannten Malware wurden in einem gemeinsamen Bericht des BlackBerry Threat Research & Intelligence-Teams und des Inteze-Sicherheitsforschers Joakim Kennedy veröffentlicht.

Ihren Erkenntnissen zufolge unterscheidet sich Symbiote deutlich von den anderen Linux-Malware-Bedrohungen, die versuchen, bereits laufende Prozesse zu kompromittieren. Symbiote ist jedoch so konzipiert, dass es als Shared Object (SO)-Bibliothek fungiert, die alle laufenden Prozesse über LD_PRELOAD laden. Sobald sie vollständig auf dem kompromittierten Computer etabliert ist, kann die Bedrohung fast Rootkit-Level-Funktionalität bereitstellen. Um seine Anwesenheit zu verbergen, verknüpft Symbiote bestimmte Funktionen wie libc und libpcap .

Darüber hinaus kann die Bedrohung durch das Einhaken der libc -Lesefunktion Anmeldeinformationen vom infizierten Gerät sammeln, während die Verwendung des Linux Pluggable Authentication Module (PAM) es ihr ermöglicht, den Bedrohungsakteuren Fernzugriffsfunktionen zu geben. Der von der Bedrohung generierte verdächtige Datenverkehr wird durch die Verwendung von BPF (Berkeley Packet Filter)-Hooking maskiert.

Die Forscher konnten auch bestätigen, dass bestimmte mit Symbiote verbundene Domainnamen dazu bestimmt waren, sich als legitime brasilianische Banken auszugeben. Außerdem wurde ein mit der Malware verknüpfter Server gezielt erstellt, um die Seite der Bundespolizei von Brasilien nachzuahmen.

Im Trend

Am häufigsten gesehen

Wird geladen...