{"id":19630,"date":"2022-06-09T21:05:57","date_gmt":"2022-06-10T00:05:57","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19630"},"modified":"2022-06-09T21:05:59","modified_gmt":"2022-06-10T00:05:59","slug":"malware-linux-visando-o-setor-financeiro","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/06\/basico\/malware-linux-visando-o-setor-financeiro\/","title":{"rendered":"Malware Linux visando o setor financeiro"},"content":{"rendered":"\n

Symbiote: um malware Linux furtivo visando o setor financeiro da Am\u00e9rica Latina<\/span><\/span><\/h1>\n

\u00a0<\/p>\n

Pesquisadores de seguran\u00e7a cibern\u00e9tica desvendaram o que chamam de malware Linux \u201cquase imposs\u00edvel de detectar\u201d que pode ser armado para sistemas infectados por backdoor.<\/span><\/p>\n

\u00a0<\/p>\n

Apelidado de <\/span>Symbiote pelas empresas de intelig\u00eancia de amea\u00e7as BlackBerry e Intezer, o malware furtivo \u00e9 assim chamado por sua capacidade de se esconder dentro de processos em execu\u00e7\u00e3o e tr\u00e1fego de rede e drenar os recursos da v\u00edtima como um <\/span>parasita<\/span> .<\/span><\/p>\n

\u00a0<\/p>\n

Acredita-se que os operadores por tr\u00e1s do Symbiote tenham iniciado o desenvolvimento do malware em novembro de 2021, com o agente da amea\u00e7a usando-o predominantemente para atingir o setor financeiro na Am\u00e9rica Latina, incluindo bancos como Banco do Brasil e Caixa.<\/span><\/p>\n

\u00a0<\/p>\n

\u201cO principal objetivo do Symbiote \u00e9 capturar credenciais e facilitar o acesso de backdoor \u00e0 m\u00e1quina da v\u00edtima\u201d, informaram os pesquisadores Joakim Kennedy e Ismael Valenzuela em um <\/span>relat\u00f3rio<\/span> compartilhado com o The Hacker News. “O que torna o Symbiote diferente de outros malwares Linux \u00e9 que ele infecta processos em execu\u00e7\u00e3o em vez de usar um arquivo execut\u00e1vel aut\u00f4nomo para causar danos.”<\/span><\/p>\n

\u00a0<\/p>\n

Ele consegue isso aproveitando um recurso nativo do Linux chamado <\/span>LD_PRELOAD, <\/span>um m\u00e9todo anteriormente empregado por malware como <\/span>Pro-Ocean<\/span> e <\/span>Facefish<\/span> para ser carregado pelo <\/span>vinculador din\u00e2mico<\/span> em todos os processos em execu\u00e7\u00e3o e infectar o host.<\/span><\/p>\n

\u00a0<\/p>\n

\"\"<\/a><\/div>\n

\u00a0<\/p>\n

Al\u00e9m de ocultar sua presen\u00e7a no sistema de arquivos, o Symbiote tamb\u00e9m \u00e9 capaz de ocultar seu tr\u00e1fego de rede usando o recurso estendido Berkeley Packet Filter (eBPF). Isso \u00e9 feito injetando-se no processo de um software de inspe\u00e7\u00e3o e usando o BPF para filtrar resultados que revelariam sua atividade.<\/span><\/p>\n

\u00a0<\/p>\n

Ao sequestrar todos os processos em execu\u00e7\u00e3o, o Symbiote permite que a funcionalidade do rootkit oculte ainda mais as evid\u00eancias de sua exist\u00eancia e fornece um backdoor para o agente da amea\u00e7a fazer login na m\u00e1quina e executar comandos privilegiados. Tamb\u00e9m foi observado o armazenamento de credenciais capturadas criptografadas em arquivos disfar\u00e7ados de arquivos de <\/span>cabe\u00e7alho C.<\/span><\/p>\n

\u00a0<\/p>\n

Esta n\u00e3o \u00e9 a primeira vez que um malware com recursos semelhantes \u00e9 detectado em estado selvagem. Em fevereiro de 2014, a ESET revelou um backdoor Linux chamado <\/span>Ebury<\/span>, constru\u00eddo para roubar credenciais OpenSSH e manter o acesso a um servidor comprometido.<\/span><\/p>\n

\u00a0<\/p>\n

Al\u00e9m disso, a divulga\u00e7\u00e3o chega quase um m\u00eas depois que surgiram detalhes sobre um <\/span>implante passivo<\/span> evasivo baseado em Linux chamado <\/span>BPFDoor<\/span> que carrega um sniffer Berkeley Packet Filter (BPF) para monitorar o tr\u00e1fego de rede e iniciar um shell de liga\u00e7\u00e3o enquanto ignora as prote\u00e7\u00f5es de firewall.<\/span><\/p>\n

\u00a0<\/p>\n

\u201cComo o malware opera como um rootkit de n\u00edvel de usu\u00e1rio, detectar uma infec\u00e7\u00e3o pode ser dif\u00edcil\u201d, conclu\u00edram os pesquisadores. “A telemetria de rede pode ser usada para detectar solicita\u00e7\u00f5es an\u00f4malas de DNS e ferramentas de seguran\u00e7a, como AVs e EDRs, devem ser vinculadas estaticamente para garantir que n\u00e3o sejam ‘infectadas’ por rootkits de usu\u00e1rio.”<\/span><\/p>\n

\u00a0<\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2022\/06\/symbiote-stealthy-linux-malware.html\u00a0<\/a> (Autor: Ravie Lakshmanan<\/span>)<\/p>\n

\u00a0<\/p>\n\n\n\n\n","protected":false},"excerpt":{"rendered":"

Symbiote: um malware Linux furtivo visando o setor financeiro da Am\u00e9rica Latina \u00a0 Pesquisadores de seguran\u00e7a cibern\u00e9tica desvendaram o que chamam de malware Linux \u201cquase imposs\u00edvel de detectar\u201d que pode ser armado para sistemas infectados por backdoor. \u00a0 Apelidado de Symbiote pelas empresas de intelig\u00eancia de amea\u00e7as BlackBerry e Intezer, o malware furtivo \u00e9 assim […]<\/p>\n","protected":false},"author":2,"featured_media":19631,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-19630","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19630","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19630"}],"version-history":[{"count":3,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19630\/revisions"}],"predecessor-version":[{"id":19634,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19630\/revisions\/19634"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19631"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19630"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19630"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19630"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}