Linux Adictos Pablinux  

Symbiote, un nuevo, peligroso y sigiloso virus que afecta a Linux

Symbiote

Ayer mismo publicábamos un artículo en el que informábamos de que se habían corregido 7 vulnerabilidades en el GRUB de Linux. Y es que estamos mal acostumbrados o simplemente equivocados: claro que hay fallos de seguridad y virus en Linux, como en Windows, macOS e incluso iOS/iPadOS, los sistemas más cerrados que existen. El sistema perfecto no existe, y aunque algunos sean más seguros, parte de nuestra seguridad se la debemos a que usamos un sistema operativo con poca cuota de mercado. Pero poca no es nula, y eso lo saben desarrolladores maliciosos como los que han creado Symbiote.

Fue Blackberry el pasado jueves quien dio la voz de alarma, aunque no empieza muy bien cuando trata de explicar el nombre de la amenaza. Dice que un simbionte es un organismo que vive en simbiosis con otro organismo. Hasta aquí vamos bien. Lo que ya no está tan bien es cuando afirma que, a veces, un simbionte puede ser parasitario cuando se beneficia y perjudica al otro, pero no, o lo uno o lo otro: si ambos se benefician, como el tiburón y la rémora, es una simbiosis. Si la rémora perjudicara al tiburón, entonces pasaría automáticamente a ser un parásito, pero esto no es una clase de biología ni un documental marino.

Symbiote infecta otros procesos para provocar daños

Explicado lo anterior, Symbiote no puede ser más que un parásito. Su nombre le debe venir, quizá, de que no notamos su presencia. Nosotros podríamos estar usando un equipo infectado sin notarlo, pero si no lo notamos y nos está robando datos, nos está perjudicado, por lo que no existe «simbiosis» posible. Blackberry explica:

Lo que hace que Symbiote sea diferente de otros programas maliciosos para Linux que solemos encontrar, es que necesita infectar otros procesos en ejecución para infligir daños en las máquinas infectadas. En lugar de ser un archivo ejecutable independiente que se ejecuta para infectar una máquina, es una biblioteca de objetos compartidos (SO) que se carga en todos los procesos en ejecución utilizando LD_PRELOAD (T1574.006), e infecta parasitariamente la máquina. Una vez que ha infectado todos los procesos en ejecución, proporciona al actor de la amenaza la funcionalidad de rootkit, la capacidad de recoger credenciales y la capacidad de acceso remoto.

Se detectó en noviembre de 2021

Blackberry detectó a Symbiote por primera vez en noviembre de 2021, y parece que su destino es el sector financiero de Latinoamérica. Una vez ha infectado nuestro equipo, se esconde a sí mismo y cualquier otro malware usado por la amenaza, dificultando mucho la detección de las infecciones. Toda su actividad se oculta, incluida la de las redes, por lo que es casi imposible saber que está ahí. Pero lo malo no es que esté, sino que proporciona una puerta trasera para identificarse como cualquier usuario registrado en el equipo con una contraseña con un cifrado fuerte, y puede ejecutar comandos con los privilegios más altos.

Se sabe que existe, pero ha infectado a muy pocos equipos y no se han encontrado evidencias de que se haya usado el ataques muy dirigios o amplios. Symbiote usa Berkeley Packet Filter para esconder el tráfico malicioso del equipo infectado:

Cuando un administrador inicia cualquier herramienta de captura de paquetes en la máquina infectada, se inyecta el bytecode BPF en el kernel que define qué paquetes deben ser capturados. En este proceso, Symbiote añade primero su bytecode para poder filtrar el tráfico de red que no quiere que vea el software de captura de paquetes.

Symbiote se esconde como el mejor Gorgonita (pequeños guerreros)

Symbiote está diseñado para que se cargue por el enlazador vía LD_PRELOAD. Esto le permite cargarse antes que cualquier otro objeto compartido. Al haberse cargado antes, puede secuestrar las importaciones desde otros archivos de librerías cargados por la aplicación. El simbionte usa esto para ocultar su presencia enganchándose a libc y libpcap. Si la aplicación que lo llama intenta acceder a un archivo o carpeta dentro de /proc, el malware elimina la salida de los nombres de proceso que están en su lista. Si no intenta acceder a nada dentro de /proc, entonces elimina el resultado de la lista de archivos.

Blackberry termina su artículo diciendo que estamos ante un malware muy evasivo. Su objetivo es conseguir credenciales y facilitar una puerta trasera a los equipos infectados. Es muy difícil de detectar, por lo que lo único que podemos esperar es que se lancen los parches lo más pronto posible. No se tiene constancia de que se haya usado mucho, pero es peligroso. Desde aquí, como siempre, recordar la importancia de aplicar los parches de seguridad tan pronto en cuanto estén disponibles.

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.