Los usuarios Linux actualmente están siendo victima del malware Symbiote que recientemente ha sido descubierto por los investigadores de seguridad de BlackBerry e Intezer Labs. De acuerdo a las declaraciones de los propios investigadores, este malware es casi imposible de detectar pero además, debido a su procedimiento de infección, ofrece a los atacantes funcionalidades de rootkit, acceso remoto y más.
El malware Symbiote ha sido llamado de esa manera debido a la naturaliza de su ataque, siendo «Symbiote» un termino biológico que le permite a un organismo vivir en simbiosis con otro organismo, muchas vece de forma parasitaria. Este malware al parecer convive en el sistema operativo Linux desde noviembre de 2021, según apuntan los investigadores.
El malware Symbiote está atacando de forma desenfrenada los sistemas Linux
Al escribir su hallazgo, los investigadores han mencionado lo siguiente:
Lo que diferencia a Symbiote de otros programas maliciosos de Linux con los que nos encontramos habitualmente es que necesita infectar otros procesos en ejecución para infligir daños en los equipos infectados. En lugar de ser un archivo ejecutable independiente que se ejecuta para infectar una máquina, es una biblioteca de objetos compartidos (SO) que se carga en todos los procesos en ejecución mediante LD_PRELOAD (T1574.006) e infecta la máquina de forma parasitaria. Una vez que ha infectado todos los procesos en ejecución, proporciona al actor de amenazas la funcionalidad de rootkit, la capacidad de recopilar credenciales y la capacidad de acceso remoto.
Continúan explicando por qué Symbiote es tan difícil de detectar:
Una vez que el malware ha infectado una máquina, se oculta a sí mismo y a cualquier otro malware utilizado por el actor de amenazas, lo que hace que las infecciones sean muy difíciles de detectar. Es posible que la realización de análisis forenses en vivo en una máquina infectada no revele nada, ya que el malware oculta todos los archivos, procesos y artefactos de la red. Además de la capacidad de rootkit, el malware proporciona una puerta trasera para que el actor de amenazas inicie sesión como cualquier usuario en la máquina con una contraseña codificada y ejecute comandos con los privilegios más altos.
Dado que es extremadamente evasivo, es probable que una infección de Symbiote «vuele por debajo del radar». En nuestra investigación, no hemos encontrado suficiente evidencia para determinar si Symbiote se está utilizando en ataques amplios o altamente dirigidos.
Un aspecto técnico interesante de Symbiote es su funcionalidad de enganche Berkeley Packet Filter (BPF). Symbiote no es el primer malware de Linux que usa BPF. Por ejemplo, una puerta trasera avanzada atribuida a Equation Group ha estado usando BPF para comunicaciones encubiertas. Sin embargo, Symbiote utiliza BPF para ocultar el tráfico de red malicioso en una máquina infectada.
Cuando un administrador inicia cualquier herramienta de captura de paquetes en la máquina infectada, el código de bytes BPF se inyecta en el kernel que define qué paquetes deben capturarse. En este proceso, Symbiote agrega primero su código de bytes para poder filtrar el tráfico de red que no desea que vea el software de captura de paquetes.
Cabe mencionar que el malware Symbiote también puede ocultar su actividad en la red utilizando una variedad de técnicas. Esta es la cobertura perfecta para permitir que el malware obtenga credenciales y proporcione acceso remoto a los atacantes.
El artículo completo y detallado está disponible en el blog de BlackBerry, así como en una publicación en el sitio de Intezer.
