I malware per Linux non sono molto diffusi come quelli per Windows o Android, ma possono causare danni maggiori, considerato che il sistema operativo viene installato su server e workstation aziendali. I ricercatori di BlackBerry e Intezer hanno scoperto la nuova minaccia Symbiote che può infettare tutti i processi in esecuzione e consentire l’accesso remoto, il furto delle credenziali e l’installazione di rootkit. È necessario quindi una soluzione che offra una protezione avanzata per gli endpoint, come Bitdefender GravityZone Business Security.
Un parassita per Linux
Symbiote sfrutta una tecnica originale per infettare le macchine Linux. Non è infatti un file eseguibile, ma una libreria shared object che viene caricata in tutti i processi in esecuzione. Il malware può eseguire diverse azioni senza essere rilevato, in quanto file, processi e traffico di rete sono nascosti. Se un amministratore usa un tool per la cattura dei pacchetti, Symbiote inietta se stesso nel processo del software e sfrutta la funzionalità hooking del BPF (Berkeley Packet Filter) per filtrare i risultati che dovrebbero rivelare la sua attività.
Gli obiettivi principali del malware sono il furto delle credenziali (in particolare quelle dell’amministratore), l’accesso remoto via PAM (Pluggable Authentication Module) e l’installazione di rootkit o backdoor. Al momento i target di Symbiote sono le banche brasiliane, ma potrebbe estendere le sue attività in altri paesi. I ricercatori consigliano di utilizzare soluzioni di sicurezza avanzate per rilevare richieste DNS anomale e proteggere i sistemi Linux presenti in azienda.