Mengapa itu penting: Awal pekan ini, peneliti dari Blackberry dan Intezer merilis informasi tentang malware Linux yang sulit dideteksi yang menargetkan lembaga keuangan Amerika Latin. Dikenal sebagai Symbiote, ancaman tersebut memberi pengguna yang tidak sah kemampuan untuk memanen kredensial atau mengasumsikan akses jarak jauh ke mesin target. Setelah terinfeksi, semua malware disembunyikan dan tidak dapat dideteksi.
Joakim Kennedy dari Intezer dan Tim Riset dan Intelijen Blackberry menemukan bahwa ancaman tersebut muncul sebagai perpustakaan objek bersama (SO) daripada file yang dapat dieksekusi yang harus dijalankan pengguna untuk menginfeksi host. Setelah terinfeksi, SO dimuat ke dalam proses yang sedang berjalan di mesin target.
Komputer yang terinfeksi menyediakan aktor ancaman dengan kemampuan untuk mengumpulkan kredensial, memanfaatkan kemampuan akses jarak jauh, dan menjalankan perintah dengan hak istimewa yang tidak sah. Malware dimuat sebelum objek bersama lainnya melalui arahan LD_PRELOAD, memungkinkannya untuk menghindari deteksi. Dimuat terlebih dahulu juga memungkinkan malware untuk memanfaatkan file perpustakaan yang dimuat lainnya.
Selain tindakan yang dijelaskan di atas, Symbiote dapat menyembunyikan aktivitas jaringan mesin yang terinfeksi dengan membuat file temp tertentu, membajak bytecode penyaringan paket yang terinfeksi, atau memfilter lalu lintas UDP menggunakan fungsi pengambilan paket tertentu. Blog Blackberry dan Intezer memberikan penjelasan mendalam tentang setiap metode jika Anda menyukai detail teknis.
Tim pertama kali mendeteksi ancaman di lembaga keuangan yang berbasis di Amerika Latin pada tahun 2021. Sejak itu, tim telah menentukan bahwa malware tidak berbagi kode dengan malware lain yang diketahui, mengklasifikasikannya sebagai ancaman malware yang sama sekali baru untuk sistem operasi Linux. Meskipun ancaman baru dirancang agar sulit ditemukan, admin dapat menggunakan telemetri jaringan untuk mendeteksi permintaan DNS yang tidak wajar. Analis keamanan dan administrator sistem juga dapat menggunakan alat antivirus (AV) dan deteksi titik akhir dan respons (EDR) yang ditautkan secara statis untuk memastikan rootkit tingkat pengguna tidak menginfeksi mesin target.