Um novo tipo de vírus Linux que é “quase inescrutável” é capaz de obter senhas e permitir aos invasores o acesso remoto com uma funcionalidade rootkit para infetar alvos, disseram pesquisadores.
A Equipe de Inteligência e Pesquisa BlackBerry tem monitorado o malware, cujo primeiro registro remonta a novembro de 2020, Joakim Kennedy, um especialista em segurança, relatou em um post publicado no BlackBerry Threat Vector Blog na semana passada.
Os investigadores colocaram uma denominação precisa para o malware – designado de “Symbiote” – que parece ter sido criado para atacar os setores financeiros da América Latina. A palavra tem um significado biológico, pois ela descreve um organismo que vive em conjunto com outro.
O título foi inspirado pela maneira como o vírus opera, que se distingue de outros malwares Linux encontrados por cientistas, de acordo com Kennedy.
O que distingue o Symbiote é que ele necessita invadir outros programas em execução para causar dano nas máquinas infectadas”, descreveu. “Em lugar de ser um arquivo executável independente que é lançado para infestar uma máquina, ele se trata de uma biblioteca de objetos compartilhados (SO) que é carregada em todos os programas em execução usando LD_PRELOAD (T1574.006), e, de forma parasitária, contamina a máquina.”
Uma vez que o Symbiote tivesse afetado todos os programas em execução, um agente malicioso poderia realizar várias ações maliciosas, incluindo a instalação de rootkits, a obtenção de credenciais e a obtenção de acesso remoto, afirmou Kennedy.
Além da funcionalidade do rootkit, o vírus também concede um ‘backdoor’ para o cibercriminoso acessar a máquina como qualquer usuário com uma senha codificada e executar comandos com o maior nível de privilégios, disse ele.
Manobras para desviar de obstáculos são utilizadas para se livrar deles.
Os pesquisadores afirmaram que não é apenas o comportamento do simbiote que o torna especial. Eles disseram que também é extremamente difícil de detectar, como se estivesse “voando abaixo do radar”, o que dificulta qualquer tentativa de verificar se ele está sendo usado por adversários.
Os pesquisadores descobriram que ele é projetado para ser carregado pelo linker através da diretiva LD_PRELOAD. Esta habilidade de ser inicializado primeiro permite que ele tome o controle das importações dos outros arquivos de biblioteca carregados para o aplicativo. Isso o torna invisível ao computador, conectando funções de libc e libpcap, segundo Kennedy.
Uma vez que um malware infectou uma máquina, ele se esconde, o que dificulta a detecção de outros malwares usados pelo ator de ameaça. Realizar forense ao vivo em uma máquina infectada pode não fornecer resultados, pois todos os arquivos, processos e artefatos de rede estão ocultos pelo malware.
Os cientistas relatam que não possuem dados suficientes para determinar se os perpetradores de ameaças estão usando Symbiote em ataques altamente específicos ou de larga escala, afirmou.
Investigadores descobriram que pedidos DNS incomuns podem ser uma forma de detectar se malware está presente no sistema. No entanto, softwares de antivírus ou outras ferramentas de segurança direcionadas para detecção e resposta de endpoint não serão capazes de detectar o Symbiote, o que colocará em risco organizações que usam Linux e dependem dessas medidas de proteção.
Criar um sistema de informação.
O foco dos infratores ao empregar o Symbiote é “apreender os dados de login e proporcionar a entrada das portas traseiras às máquinas contaminadas”, explicou Kennedy. Ele desenvolveu em profundidade como a ameaça alcança essas duas atividades.
Symbiote conecta a função de leitura libc para obter credenciais; se um processo ssh ou scp estiver sendo executado, as informações são capturadas e criptografadas com RC4 por meio de uma chave embutida, afirmou Kennedy. Após esse procedimento, os dados são armazenados em um arquivo.
Os invasores não só roubarão as credenciais armazenadas no local para acessar, mas também os codificarão em hexadecimal e os separarão em partes menores para enviar através de solicitações de registro de domínio DNS para um domínio sob seu controle, acrescentou.
Para ganhar acesso remoto a uma máquina infectada, o vírus conecta algumas funções do Módulo de Autenticação Plugável do Linux (PAM), o que lhe dá a capacidade de autenticar a máquina com qualquer serviço que utilize o PAM, incluindo serviços remotos, como o Secure Shell (SSH), disse Kennedy.
Quando uma aplicação tenta verificar a autenticidade de um usuário com o PAM, o vírus verifica se a senha fornecida corresponde à senha criptografada, explicou. Se a senha combinar, a função de gancho volta com uma resposta positiva.
Assim que o ator de ameaça tiver concluído a autenticação, Kennedy explicou que o Symbiote permite que um invasor obtenha permissões de root ao varrer o ambiente para a variável HTTP_SETTHIS.
Se a variável estiver preenchida com informação, o malware modifica o identificador de usuário e de grupo efetivo para o usuário root e então apaga a variável antes de executar o conteúdo utilizando o comando do sistema, explicou.
Edite e compartilhe este artigo.
- Software maligno é um programa que pode ser utilizado para apropriar-se de dados confidenciais.