Malware para máquinas Linux quase impossível detecção, descoberto por pesquisadores operando com dezenas de estratégias de evasão. Para que ataque clientes de bancos brasileiros segundo o detalhado relatório.
Batizado com o nome de “Simbiota”, ele tem uma natureza classificada como parasitária e precisa infectar processos em execução para causar danos às máquinas. Em vez de ser um arquivo executável autônomo, executado para infectar uma máquina, é uma biblioteca de objeto compartilhada (SO). Carregada em todos os processos em execução usando o LD_PRELOAD (T1574.006) e infecta a máquina de forma parasitária. Depois de infectar todos os processos em execução, ele fornece ao agente de ameaças a funcionalidade de rootkit, a capacidade de coletar credenciais e o recurso de acesso remoto.
Depois que o malware infecta uma máquina, ele oculta a si mesmo e a qualquer outro malware usado pelo agente da ameaça. Tornando as infecções quase impossível de ser detectado. A execução de perícias ao vivo em uma máquina infectada pode não revelar nada. Pois todos os arquivos, processos e artefatos de rede estão ocultos pelo malware. Além do recurso de rootkit, o malware fornece um backdoor para que o agente da ameaça faça login como qualquer usuário na máquina com uma senha codificada e execute comandos com os privilégios mais altos.