برنامج ضار خفي على نظام Linux يستهدف القطاع المالي في أمريكا اللاتينية
برنامج ضار خفي على نظام Linux يستهدف القطاع المالي في أمريكا اللاتينية
قام باحثو الأمن السيبراني بإزالة ما يسمونه برمجيات لينكس الخبيثة “شبه المستحيل اكتشافها” والتي يمكن تسليحها للأنظمة المصابة في الباب الخلفي.
أطلق على البرنامج الخبيث الخفي اسم Symbiote من قبل شركتي استخبارات التهديدات BlackBerry و Intezer، وقد سمي بهذا الاسم نظرًا لقدرته على إخفاء نفسه في العمليات الجارية وحركة مرور الشبكة واستنزاف موارد الضحية مثل الطفيلي .
يُعتقد أن المشغلين الذين يقفون وراء Symbiote قد بدأوا تطوير البرنامج الضار في نوفمبر 2021 ، حيث استخدمه الفاعل في الغالب لاستهداف القطاع المالي في أمريكا اللاتينية ، بما في ذلك البنوك مثل Banco do Brasil و Caixa.
قال الباحثان Joakim Kennedy و Ismael Valenzuela في تقرير مشترك مع The Hacker News : “الهدف الرئيسي لـ Symbiote هو الحصول على أوراق الاعتماد وتسهيل الوصول إلى الباب الخلفي لجهاز الضحية”. “ما يجعل Symbiote مختلفًا عن برامج Linux الضارة الأخرى هو أنه يصيب العمليات الجارية بدلاً من استخدام ملف مستقل قابل للتنفيذ لإلحاق الضرر.”
يحقق ذلك من خلال الاستفادة من ميزة Linux الأصلية المسماة LD_PRELOAD، وهي طريقة مستخدمة سابقًا بواسطة البرامج الضارة مثل Pro-Ocean و Facefish، بحيث يتم تحميلها بواسطة الرابط الديناميكي في جميع العمليات الجارية وإصابة المضيف.
إلى جانب إخفاء وجوده على نظام الملفات، تستطيع Symbiote أيضًا إخفاء حركة مرور الشبكة الخاصة بها من خلال الاستفادة من ميزة Berkeley Packet Filter (eBPF) الموسعة. يتم تنفيذ ذلك عن طريق حقن نفسه في عملية برنامج الفحص واستخدام BPF لتصفية النتائج التي من شأنها الكشف عن نشاطه.
عند سرقة جميع العمليات الجارية، يتيح Symbiote وظائف rootkit لإخفاء المزيد من الأدلة على وجودها ويوفر بابًا خلفيًا لممثل التهديد لتسجيل الدخول إلى الجهاز وتنفيذ الأوامر ذات الامتيازات. كما لوحظ تخزين بيانات الاعتماد التي تم التقاطها مشفرة في ملفات تتنكر كملفات رأس C.