Symbiote: un nuevo malware dirigido a sistemas Linux

Symbiote es un nuevo malware sofisticado el cual tiene la capacidad de infectar todos los procesos en ejecución en los sistemas Linux. El malware está en desarrollo activo desde el año pasado.

Este malware ha sido analizado por BlackBerry e Intezer Labs, quienes han descubierto varios aspectos técnicos.

Tras la infección, el malware roba las credenciales de la cuenta y da acceso de puerta trasera a sus operadores. Después de inyectarse dentro de todos los procesos en ejecución, utiliza una amenaza en todo el sistema y no deja rastros identificables de infección.

El malware hace uso de la función de enganche Berkeley Packet Filter (BPF) para detectar paquetes de datos de red y ocultar sus propios canales de comunicación de las herramientas de seguridad.

Este malware se usa para la recolección automatizada de credenciales de dispositivos Linux pirateados. El robo de credenciales de administrador permite el movimiento lateral sin obstrucciones y el acceso a los sistemas infectados.

Sus principales objetivos corresponden a entidades del sector financiero en América Latina.

Si un administrador inicia una captura de paquetes en la máquina infectada para investigar, Symbiote se inyecta dentro del proceso del software de inspección y usa el enlace BPF para filtrar los maliciosos.

Para ocultar su actividad de red en la máquina infectada, el malware elimina las entradas de conexión, realiza el filtrado de paquetes a través de BPF y elimina el tráfico UDP.

El malware puede enganchar las funciones libc y libpcap y llevar a cabo diferentes acciones para ocultar su presencia, como ocultar procesos parásitos y ocultar archivos que se entregan con el malware.

Symbiote es altamente evasivo y se enfoca en capturar credenciales y facilitar el acceso por la puerta trasera.