Territorio Móvil
Linux
Symbiote: una nueva amenaza para Linux, casi imposible de detectar

Symbiote: una nueva amenaza para Linux, casi imposible de detectar

Ars Technica informa: Los investigadores han hecho un descubrimiento que no es común en el espacio del malware: una puerta trasera sofisticada y nunca antes vista de Linux que utiliza técnicas de evasión novedosas para ocultar su presencia en los servidores infectados, en algunos casos incluso utilizando una investigación forense. El jueves, los investigadores y el equipo de investigación e inteligencia de amenazas de BlackBerry dijeron que la puerta trasera no detectada anteriormente combina un alto nivel de acceso con la capacidad de eliminar todos los signos de infección del sistema de archivos, los procesos del sistema y el tráfico de la red. Apodado Symbiote, apunta a instituciones financieras en Brasil y fue visto por primera vez en noviembre. Investigadores de Intezer y BlackBerry escribieron: «Lo que distingue a Symbiote de otros programas maliciosos de Linux con los que nos encontramos habitualmente es que necesita infectar otros procesos en ejecución para causar daños, en lugar de ser un ejecutable independiente que se ejecuta para infectar una computadora, es un Shared». Biblioteca de objetos (SO) que se carga en todos los procesos en ejecución usando LD_PRELOAD (T1574.006) e infecta de forma parasitaria la computadora. Infectó todos los procesos en ejecución. Proporciona rootkit al atacante. Funcionalidad, la capacidad de recopilar credenciales y capacidades de acceso remoto… «Hasta ahora, no hay evidencia de infecciones en la naturaleza, solo ejemplos de malware encontrados en línea. Es poco probable que este malware esté muy extendido en este momento, pero con un disfraz tan sólido, ¿cómo podemos estar seguros? «Cuando se llama a las funciones enganchadas, el malware primero carga dinámicamente libc y llama a la función de origen…», afirma la publicación del blog de Blackberry. «Si la aplicación que realiza la llamada intenta acceder a un archivo o carpeta en /proc, el malware eliminará la salida de los nombres de proceso que están en su lista… Si la aplicación que realiza la llamada no intenta acceder a nada en /proc, el malware lo soltará en su lugar.» el resultado de una lista de archivos… «Symbiote también tiene una función para ocultar la actividad de la red en la computadora infectada».