Pourquoi c’est important : plus tôt cette semaine, des chercheurs de Blackberry et d’Intezer ont publié des informations sur un logiciel malveillant Linux difficile à détecter ciblant les institutions financières d’Amérique latine. Connue sous le nom de Symbiote, la menace offre aux utilisateurs non autorisés la possibilité de collecter des informations d’identification ou d’assumer un accès à distance à la machine cible. Une fois infectés, tous les logiciels malveillants sont cachés et rendus indétectables.
Joakim Kennedy d’Intezer et l’équipe Blackberry Research and Intelligence ont découvert que la menace se présente comme une bibliothèque d’objets partagée (SO) plutôt qu’un fichier exécutable typique que les utilisateurs doivent exécuter pour infecter un hôte. Une fois infecté, le SO est chargé dans les processus en cours d’exécution sur la machine cible.
Les ordinateurs infectés offrent aux pirates la possibilité de collecter des informations d’identification, d’exploiter les capacités d’accès à distance et d’exécuter des commandes avec des privilèges élevés non autorisés. Le malware est chargé avant tout autre objet partagé via la directive LD_PRELOAD, ce qui lui permet d’éviter d’être détecté. Le fait d’être chargé en premier permet également au logiciel malveillant d’exploiter d’autres fichiers de bibliothèque chargés.
En plus des actions décrites ci-dessus, Symbiote peut masquer l’activité réseau de la machine infectée en créant des fichiers temporaires spécifiques, en détournant le bytecode de filtrage des paquets infectés ou en filtrant le trafic UDP à l’aide de fonctions de capture de paquets spécifiques. Les blogs Blackberry et Intezer fournissent des explications détaillées sur chaque méthode si vous êtes dans les détails techniques.
L’équipe a détecté la menace pour la première fois dans les institutions financières basées en Amérique latine en 2021. Depuis lors, l’équipe a déterminé que le malware ne partageait aucun code avec un autre malware connu, le classant comme une toute nouvelle menace de malware pour les systèmes d’exploitation Linux. Alors que la nouvelle menace est conçue pour être difficile à trouver, les administrateurs peuvent utiliser la télémétrie réseau pour détecter les requêtes DNS anormales. Les analystes de la sécurité et les administrateurs système peuvent également utiliser des antivirus (AV) et des outils de détection et de réponse des terminaux (EDR) liés statiquement pour s’assurer que les rootkits au niveau de l’utilisateur n’infectent pas les machines cibles.