Symbiote, el malware para Linux casi imposible de detectar: corrompe todos los programas abiertos y les impide 'chivarse'

Symbiote, el malware para Linux casi imposible de detectar: corrompe todos los programas abiertos y les impide 'chivarse'
9 comentarios

El descubrimiento de un malware con potencial dañino en sistemas GNU/Linux siempre es noticia, quizá por la imagen creada en torno a este sistema operativo como 'inmune a los virus'. Pero con Symbiote, cuya existencia acaba de ser dada a conocer ahora, estamos ante un caso extremo de sofisticación a la hora de eludir los métodos tradicionales de detección.

Pese a su reciente identificación, los expertos estiman que lleva siendo usado por cibercriminales al menos desde noviembre de 2021, y que ya habría sido usado contra entidades del sector financiero iberoamericano.

En teoría, su nombre procede de su capacidad para funcionar sin ejecutables, limitándose a 'inyectarse' en los procesos en ejecución y convertirlos en maliciosos; esto es posible porque la carga 'viral' reside en una biblioteca con extensión .SO, que los procesos cargan porque los atacantes, previamente, han hecho uso de la variable de entorno LD_PRELOAD.

Dado que, según los biólogos, la simbiosis es una relación de dependencia entre dos seres vivos que beneficia a ambos, todo indica que los expertos en ciberseguridad que lo bautizaron estaban pensando, más bien, en los simbiontes de la saga 'Venom', de Marvel, entes alienígenas capaces de poseer a su huésped.

Un vistazo a…
Ransomware: qué es, cómo infecta y cómo protegerse

Sigiloso y peligroso: más 'ninja' que congénere de Venom

Más allá de cuestiones zoológicas, su forma de infectar procesos es relevante porque le permite interceptar cualquier llamada a un comando que pudiera revelar su presencia (como 'ldd'), y alterar la salida del mismo para ocultarse.

Pero aún: Symbiote está diseñado para permitir ocultar la presencia de cualquier otro malware que los atacantes pudieran desear usar en combinación con éste. Así, borra también de la salida de 'ldd' referencias a 'certbotx64', 'certbotx86', 'javautils', 'javaserverx64', 'javaclientex64' y 'javanodex8'.

Y no termina ahí: también es capaz de ocultar su actividad de red interceptando llamadas a /proc/net/tcp y a las funciones libpcap y borrando referencias a cualquier conexión a puertos específicos que sus creadores le indiquen.

Graph New
Todos los trucos de ocultación utilizados por Symbiote (vía BlackBerry).

Pero más allá de su capacidad de ocultarse a sí mismo y a otros malwares, el objetivo de Symbiote es el de proporcionar una puerta trasera que permita a los atacantes acceder remotamente (y con privilegios de root) al sistema infectado y acceder al archivo con las credenciales que, por otro lado, Symbiote habrá ido recopilando cada vez que el usuario se autentifica.

Los investigadores han percibido un paralelismo entre algunas de las técnicas utilizadas por Symbiote y las de un malware Linux más antiguo denominado Ebury. Sin embargo, han podido comprobar que hay poco código compartido entre ambos, lo que da a entender que Symbiote es una nueva clase de malware, que no se había detectado hasta ahora.

Vía | CSO online

Imagen | basado en originales de Round Icons y de Marvel Comics ('Ultimate Spider-Man Vol. 21: War Of The Symbiotes')

Temas
Inicio