26 de junio de 2022

Este malware es imposible detectar para Linux, se llama Symbiote y es capaz de corromper todos los programas abiertos

Cuando se halla un malware con un gran potencial dañino en sistemas GNU/Linux siempre es noticia, su nombre procede de su capacidad para funcionar sin ejecutables, limitándose a ‘inyectarse’ en los procesos en ejecución y convertirlos en maliciosos; esto es posible porque la carga ‘viral’ reside en una biblioteca con extensión .SO, que los procesos cargan porque los atacantes, previamente, han hecho uso de la variable de entorno LD_PRELOAD.

Dado que, según los biólogos, la simbiosis es una relación de dependencia entre dos seres vivos que beneficia a ambos, todo indica que los expertos en ciberseguridad que lo bautizaron estaban pensando, más bien, en los simbiontes de la saga ‘Venom’, de Marvel, entes alienígenas capaces de poseer a su huésped.

-Es Sigiloso y peligroso: más ‘ninja’ que congénere de Venom

Más allá de cuestiones zoológicas, su forma de infectar procesos es relevante porque le permite interceptar cualquier llamada a un comando que pudiera revelar su presencia (como ‘ldd’), y alterar la salida del mismo para ocultarse.

Pero aún: Symbiote está diseñado para permitir ocultar la presencia de cualquier otro malware que los atacantes pudieran desear usar en combinación con éste. Así, borra también de la salida de ‘ldd’ referencias a ‘certbotx64’, ‘certbotx86’, ‘javautils’, ‘javaserverx64’, ‘javaclientex64’ y ‘javanodex8’.

Y no termina ahí: también es capaz de ocultar su actividad de red interceptando llamadas a /proc/net/tcp y a las funciones libpcap y borrando referencias a cualquier conexión a puertos específicos que sus creadores le indiquen.

Estos son todos los trucos de ocultación utilizados por Symbiote (vía BlackBerry).

Sin embargo, más allá de su capacidad de ocultarse a sí mismo y a otros malwares, el objetivo de Symbiote es el de proporcionar una puerta trasera que permita a los atacantes acceder remotamente (y con privilegios de root) al sistema infectado y acceder al archivo con las credenciales que, por otro lado, Symbiote habrá ido recopilando cada vez que el usuario se autentifica.

Los investigadores han percibido un paralelismo entre algunas de las técnicas utilizadas por Symbiote y las de un malware Linux más antiguo denominado Ebury. Sin embargo, han podido comprobar que hay poco código compartido entre ambos, lo que da a entender que Symbiote es una nueva clase de malware, que no se había detectado hasta ahora.