I ricercatori di BlackBerry e Intezer hanno scoperto un nuovo malware Linux chiamato “Symbiote”, che viene utilizzato per prendere di mira le istituzioni finanziarie in tutta l’America Latina

Joakim Kennedy, ricercatore di sicurezza presso Intezer, e il BlackBerry Research & Intelligence Team, hanno pubblicato la scorsa settimana un rapporto che mette in evidenza ciò che rende Symbiote diverso dagli altri malware Linux, è che deve infettare altri processi in esecuzione per infliggere danni alle macchine infette.

Invece di essere un file eseguibile autonomamente, viene eseguito per infettare una macchina, è una libreria di oggetti condivisi (SO) che viene caricata in tutti i processi in esecuzione utilizzando LD_PRELOAD (T1574.006), e infetta parassitariamente la macchina. Una volta che ha infettato tutti i processi in esecuzione, fornisce all’attore delle minacce la funzionalità rootkit. Capacità di raccogliere le credenziali e la capacità di accesso remoto.

Le dichiarazioni di Dmitry Bestuzhev

Il ricercatore di minacce BlackBerry, Dmitry Bestuzhev ha dichiarato a The Record, che Symbiote è una campagna mirata e finanziariamente motivata che vive su Linux e si basa sulla tecnica di hooking BFP. Secondo lui è stata precedentemente utilizzata come uno dei più avanzati attori di minacce APT.

Bestuzhev ha spiegato:

Il fatto che l’attore della minaccia dietro questa campagna abbia riutilizzato la funzionalità BPF indica che potrebbe essere utilizzata contro qualsiasi obiettivo in qualsiasi parte del mondo. Data la geolocalizzazione del richiedente dell’impianto, il formato dei nomi di dominio utilizzati per C2C e l’apparente familiarità delle istituzioni brasiliane, riteniamo che l’attore della minaccia sia molto probabilmente collegato a quel paese. Poiché gli ecosistemi Linux di solito sono sistemi privi di endpoint, li rende un luogo perfetto per tali attacchi, in cui volare sotto il radar è una realtà.

I ricercatori hanno affermato di aver scoperto Symbiote nel novembre 2021, spiegando che una volta che ha infettato una macchina, nasconde se stesso e qualsiasi altro malware utilizzato dall’attore della minaccia, rendendo le infezioni molto difficili da rilevare.

Il malware è molto difficile da scoprire durante le indagini forensi e fornisce una backdoor per l’attore della minaccia per accedere come qualsiasi utente sulla macchina con una password hardcoded ed eseguire comandi con i privilegi più elevati. Il malware ha anche funzionalità che nascondono l’attività di rete sulla macchina infetta.

La difficoltà per i ricercatori di trovare la minaccia

Questa capacità di lavorare inosservato ha reso difficile per i ricercatori sapere quanto sia veramente diffusa la campagna. Gli attori delle minacce hanno persino utilizzato VirusTotal per verificare se poteva essere rilevato.

I ricercatori hanno spiegato:

L’obiettivo del malware, oltre a nascondere attività dannose sulla macchina, è raccogliere credenziali e fornire accesso remoto all’attore della minaccia. Oltre a memorizzare le credenziali in locale, le credenziali vengono esfiltrate. I dati sono codificati in esadecimale e suddivisi in blocchi per essere esfiltrati tramite richieste di record di indirizzi DNS a un nome di dominio controllato dall’attore della minaccia.

Il rapporto rileva che Symbiote utilizza nomi di dominio che impersonano le principali banche brasiliane, suggerendo che, queste banche o i loro clienti sono i potenziali bersagli. Un campione esaminato dai ricercatori, ha trovato un indirizzo IP collegato al servizio Virtual Private Server (VPS) di Njalla.

I record DNS passivi hanno mostrato che lo stesso indirizzo IP è stato risolto in ns1[.]cintepol[.]link e ns2[.]cintepol[.]link alcuni mesi prima. Cintepol è un portale di intelligence fornito dalla polizia federale del Brasile. Il portale consente agli agenti di polizia di accedere a diversi database forniti dalla polizia federale nell’ambito delle loro indagini. Il server utilizzato per questo nome di dominio impersonato è stato attivato a metà dicembre 2021 fino alla fine del gennaio 2022.

Cosa ne pensate di questo malware Linux “Symbiote” utilizzato per attaccare il settore finanziario dell’America Latina? Fateci sapere qui sotto nei commenti. Non dimenticate di seguirci sulla nostra pagina Instagram, su tutti gli altri nostri social e di restare connessi su tuttoteK.