Symbiote, un nuevo, peligroso y sigiloso virus que afecta a Linux
Ayer mismo publicábamos un artÃculo en el que informábamos de que se habÃan corregido 7 vulnerabilidades en el GRUB de Linux. Y es que estamos mal acostumbrados o simplemente equivocados: claro que hay fallos de seguridad y virus en Linux, como en Windows, macOS e incluso iOS/iPadOS, los sistemas más cerrados que existen. El sistema perfecto no existe, y aunque algunos sean más seguros, parte de nuestra seguridad se la debemos a que usamos un sistema operativo con poca cuota de mercado. Pero poca no es nula, y eso lo saben desarrolladores maliciosos como los que han creado Symbiote.
Fue Blackberry el pasado jueves quien dio la voz de alarma, aunque no empieza muy bien cuando trata de explicar el nombre de la amenaza. Dice que un simbionte es un organismo que vive en simbiosis con otro organismo. Hasta aquà vamos bien. Lo que ya no está tan bien es cuando afirma que, a veces, un simbionte puede ser parasitario cuando se beneficia y perjudica al otro, pero no, o lo uno o lo otro: si ambos se benefician, como el tiburón y la rémora, es una simbiosis. Si la rémora perjudicara al tiburón, entonces pasarÃa automáticamente a ser un parásito, pero esto no es una clase de biologÃa ni un documental marino.
Symbiote infecta otros procesos para provocar daños
Explicado lo anterior, Symbiote no puede ser más que un parásito. Su nombre le debe venir, quizá, de que no notamos su presencia. Nosotros podrÃamos estar usando un equipo infectado sin notarlo, pero si no lo notamos y nos está robando datos, nos está perjudicado, por lo que no existe «simbiosis» posible. Blackberry explica:
Lo que hace que Symbiote sea diferente de otros programas maliciosos para Linux que solemos encontrar, es que necesita infectar otros procesos en ejecución para infligir daños en las máquinas infectadas. En lugar de ser un archivo ejecutable independiente que se ejecuta para infectar una máquina, es una biblioteca de objetos compartidos (SO) que se carga en todos los procesos en ejecución utilizando LD_PRELOAD (T1574.006), e infecta parasitariamente la máquina. Una vez que ha infectado todos los procesos en ejecución, proporciona al actor de la amenaza la funcionalidad de rootkit, la capacidad de recoger credenciales y la capacidad de acceso remoto.
Se detectó en noviembre de 2021
Blackberry detectó a Symbiote por primera vez en noviembre de 2021, y parece que su destino es el sector financiero de Latinoamérica. Una vez ha infectado nuestro equipo, se esconde a sà mismo y cualquier otro malware usado por la amenaza, dificultando mucho la detección de las infecciones. Toda su actividad se oculta, incluida la de las redes, por lo que es casi imposible saber que está ahÃ. Pero lo malo no es que esté, sino que proporciona una puerta trasera para identificarse como cualquier usuario registrado en el equipo con una contraseña con un cifrado fuerte, y puede ejecutar comandos con los privilegios más altos.
Se sabe que existe, pero ha infectado a muy pocos equipos y no se han encontrado evidencias de que se haya usado el ataques muy dirigios o amplios. Symbiote usa Berkeley Packet Filter para esconder el tráfico malicioso del equipo infectado:
Cuando un administrador inicia cualquier herramienta de captura de paquetes en la máquina infectada, se inyecta el bytecode BPF en el kernel que define qué paquetes deben ser capturados. En este proceso, Symbiote añade primero su bytecode para poder filtrar el tráfico de red que no quiere que vea el software de captura de paquetes.
Symbiote se esconde como el mejor Gorgonita (pequeños guerreros)
Symbiote está diseñado para que se cargue por el enlazador vÃa LD_PRELOAD. Esto le permite cargarse antes que cualquier otro objeto compartido. Al haberse cargado antes, puede secuestrar las importaciones desde otros archivos de librerÃas cargados por la aplicación. El simbionte usa esto para ocultar su presencia enganchándose a libc y libpcap. Si la aplicación que lo llama intenta acceder a un archivo o carpeta dentro de /proc, el malware elimina la salida de los nombres de proceso que están en su lista. Si no intenta acceder a nada dentro de /proc, entonces elimina el resultado de la lista de archivos.
Blackberry termina su artÃculo diciendo que estamos ante un malware muy evasivo. Su objetivo es conseguir credenciales y facilitar una puerta trasera a los equipos infectados. Es muy difÃcil de detectar, por lo que lo único que podemos esperar es que se lancen los parches lo más pronto posible. No se tiene constancia de que se haya usado mucho, pero es peligroso. Desde aquÃ, como siempre, recordar la importancia de aplicar los parches de seguridad tan pronto en cuanto estén disponibles.