I ricercatori di BlackBerry e Intezer hanno scoperto un nuovo malware Linux denominato “Symbiote” che viene utilizzato per colpire le istituzioni finanziarie in America Latina.
Joakim Kennedy, ricercatore di sicurezza presso Intezer, e il BlackBerry Research & Intelligence Team hanno pubblicato la scorsa settimana un rapporto che evidenzia la campagna a sfondo finanziario, notando che ciò che rende Symbiote diverso da altri malware Linux è che “ha bisogno di infettare altri processi in esecuzione per infliggere danni alle macchine infette“.
“Invece di essere un file eseguibile autonomo che viene eseguito per infettare una macchina, è una libreria di oggetti condivisi (SO) che viene caricata in tutti i processi in esecuzione utilizzando LD_PRELOAD (T1574.006) e infetta parassitariamente la macchina. Una volta infettati tutti i processi in esecuzione, fornisce all’attore della minaccia funzionalità di rootkit, la possibilità di raccogliere credenziali e capacità di accesso remoto”, hanno dichiarato i ricercatori.
Il ricercatore di minacce BlackBerry, Dmitry Bestuzhev, ha dichiarato a The Record che Symbiote è una campagna mirata e finanziariamente motivata che vive su Linux e si basa sulla tecnica di aggancio BFP, che, a suo dire, è stata precedentemente utilizzata da uno degli attori di minacce APT più avanzati.
“Il fatto che l’attore delle minacce dietro questa campagna abbia riutilizzato la funzionalità BPF indica che potrebbe essere utilizzata contro qualsiasi obiettivo in qualsiasi parte del mondo“, ha spiegato Bestuzhev.
“Data la geolocalizzazione dell’autore dell’impianto, il formato dei nomi di dominio utilizzati per il C2C e l’apparente familiarità delle istituzioni brasiliane, riteniamo che l’attore delle minacce sia molto probabilmente collegato a quel Paese. Dal momento che gli ecosistemi Linux sono solitamente sistemi privi di end-point, ciò li rende un luogo perfetto per attacchi di questo tipo, dove volare sotto i radar è una realtà“.
I ricercatori hanno dichiarato di aver scoperto Symbiote nel novembre 2021, spiegando che una volta infettato un computer, nasconde se stesso e qualsiasi altro malware utilizzato dall’attore della minaccia, rendendo le infezioni molto difficili da rilevare.
Il malware è molto difficile da scoprire durante le indagini forensi e fornisce una backdoor che consente all’attore della minaccia di accedere come qualsiasi utente del computer con una password codificata ed eseguire comandi con i massimi privilegi. Il malware dispone persino di una funzionalità che nasconde l’attività di rete sul computer infetto.
Questa capacità di operare inosservato ha reso difficile per i ricercatori sapere quanto sia realmente diffusa la campagna. Gli attori della minaccia hanno persino utilizzato VirusTotal per verificare la possibilità di essere rilevati.
“L’obiettivo del malware, oltre a nascondere l’attività dannosa sul computer, è quello di raccogliere le credenziali e fornire accesso remoto all’attore della minaccia“, spiegano i ricercatori.
“Oltre a memorizzare le credenziali in locale, le credenziali vengono esfiltrate. I dati sono codificati in esadecimale e raggruppati per essere esfiltrati tramite richieste di record di indirizzi DNS a un nome di dominio controllato dall’attore delle minacce“.
Il rapporto rileva che Symbiote utilizza nomi di dominio che impersonano le principali banche brasiliane, suggerendo che “queste banche o i loro clienti sono i potenziali obiettivi“.
Un campione esaminato dai ricercatori “si è risolto a un indirizzo IP collegato al servizio Virtual Private Server (VPS) di Njalla“.
“I record DNS passivi hanno mostrato che lo stesso indirizzo IP è stato risolto a ns1[.]cintepol[.]link e ns2[.]cintepol[.]link alcuni mesi prima. Cintepol è un portale di intelligence fornito dalla Polizia Federale del Brasile“, si legge nel rapporto.
Il portale consente agli agenti di polizia di accedere a diversi database forniti dalla polizia federale nell’ambito delle loro indagini. “Il server di nomi utilizzato per questo nome di dominio impersonale è stato attivo dalla metà di dicembre 2021 alla fine di gennaio 2022“.
