Um malware para máquinas Linux quase impossível de ser detectado foi descoberto por pesquisadores operando com dezenas de estratégias de evasão ao ser executado e ao gerar tráfego de rede, tem numerosos indícios de ter sido projetado para atacar clientes de bancos brasileiros segundo o detalhado relatório.
Batizado com o nome de “Simbiota”, ele tem uma natureza classificada como parasitária e precisa infectar processos em execução para causar danos às máquinas. Em vez de ser um arquivo executável autônomo que é executado para infectar uma máquina, é uma biblioteca de objeto compartilhada (SO), que é carregada em todos os processos em execução usando o LD_PRELOAD (T1574.006) e infecta a máquina de forma parasitária. Depois de infectar todos os processos em execução, ele fornece ao agente de ameaças a funcionalidade de rootkit, a capacidade de coletar credenciais e o recurso de acesso remoto.
Depois que o malware infecta uma máquina, ele oculta a si mesmo e a qualquer outro malware usado pelo agente da ameaça, tornando as infecções muito difíceis de detectar. A execução de perícias ao vivo em uma máquina infectada pode não revelar nada, pois todos os arquivos, processos e artefatos de rede estão ocultos pelo malware. Além do recurso de rootkit, o malware fornece um backdoor para que o agente da ameaça faça login como qualquer usuário na máquina com uma senha codificada e execute comandos com os privilégios mais altos.
