Symbiote; el malware de Linux casi indetectable que puede poner en jaque la seguridad de los sistemas financieros

El pasado 09 de junio, el equipo de investigación de Blackberry liderado por el Dr Joakim Kennedy y apoyados por Intezer, anunció el descubrimiento de Symbiote, un malware del Sistema Operativo Linux considerado casi indetectable que amenaza seriamente la seguridad de los sistemas financieros, el cual fue descubierto en Latinoamérica pero podría extenderse rápidamente al resto del mundo.

El nombre está inspirado en las criaturas del comic de Marvel Spider-Man, ya que tiene la cualidad de conseguir una simbiosis perfecta con los sistemas que infecta, ocultándose en los procesos de ejecución y el tráfico de red, lo que hace casi imposible que el huésped se percate de su presencia. En los próximos días se espera que tanto Blackberry como Intezer compartan más información sobre cómo enfrentarse a esta nueva amenaza.

Un malware que puede ocultarse dentro de procesos en ejecución y tráfico de red

Las investigaciones adelantadas hasta la fecha, indican que este virus se comenzó a desarrollar en 2021 y su principal enfoque fueron entidades bancarias como Banco do Brasil y Caixa. Su forma de acción hace que sea muy complicado detectar su presencia, ya que una vez que ingresa al sistema operativo se oculta rápidamente y, aún utilizando técnicas avanzadas de escaneo, no se descubre en los primeros resultados.

Alongside @BlackBerry we just released joint research detailing a new, undetected Linux threat called #Symbiote

Different from other Linux malware, the threat infects running processes rather than using a standalone executable file to inflict damage https://t.co/XwBxZmZS9Y

— Intezer (@IntezerLabs) June 9, 2022

Para los investigadores Joakim Kennedy e Ismael Valenzuela, el objetivo principal de este malware es robar las credenciales del ordenador de una víctima con la intención de facilitar el acceso de forma ilegal. Además, en vez de utilizar un archivo ejecutable como lo hacen otros virus, afecta directamente los procesos de ejecución, creando enlaces con todos los que estén activos e infectando los archivos que logre alcanzar.

Además de lo anterior, este malware instala un backdoor, lo que permite que los operadores a distancia puedan ingresar como cualquier usuario, con una contraseña cifrada que les da acceso a los principales privilegios de administrador. El siguiente paso que da es utilizar BPF (Berkely Packet Filter), que ayuda a ocultar las comunicaciones y el tráfico en la red de los equipos infectados.

Según los expertos, el virus está hecho para activarse mediante el privilegio LD_PRELOAD, lo que lleva a que se cargue antes que cualquier otro archivo, permitiéndole realizar las acciones de forma rápida y efectiva.

Antes de esta fecha, en 2014 también se realizó la detección de un malware llamado ESET que tenía la capacidad de robar las credenciales y dar acceso a un servidor que estuviese intervenido, pero nada como lo que se está viendo ahora con Symbiote. Por suerte, al tiempo se realizaron las correcciones respectivas y se buscó una solución efectiva que permitiera solucionar los problemas causados.

Según un informe presentado por HP Wolf Security Threat Insights, un equipo de investigadores de la empresa informática, durante el primer trimestre del 2022 las amenazas con virus malicioso han aumentado un 27% con relación al último periodo del año anterior, utilizándose técnicas de scripts, phishing y la reinfección constante.

Aparte de eso, el estudio concluye que el 9% de las amenazas detectadas son nuevas; que algunas tardaron hasta 72 horas en ser descubiertas; se han utilizado al menos 545 familias de malware diferentes; y que una gran parte de la distribución se realiza mediante correo electrónico, lo que alerta a tener cuidado al abrir cualquier archivo adjunto desconocido que llegue al mail.

Otros malware que son un verdadero dolor de cabeza

Uno de los malware que ha sido descubierto recientemente es Prynt, que una vez que infecta un equipo recopila los datos para enviarlos a terceros. Con la información recabada, roba datos bancarios, credenciales almacenadas y mensajes privados, así que no queda ningún tipo de documentación protegida. El peligro mayor, es que una vez que se aloja, es capaz de grabar las contraseñas y compartirlas mientras se escriben con el teclado del ordenador.

Otro que sigue causando daño es Emotet, que busca secuestrar las conversaciones de correo electrónico para infectar los ordenadores. Llega principalmente mediante spam y elude la protección de los sistemas antivirus. Tiene consecuencias muy destructivas y ataca por igual a entes públicos y privados. La técnica de engaño consiste en crear imágenes de marcas conocidas para que los usuarios abran los documentos y así causar efectos dañinos.

En el caso de los móviles, uno de los malware más comunes es FluBot, el cual fue detectado en 2020 y sigue causando estragos en estos días. Su esquema de trabajo consiste en acceder a la lista de contactos y enviarla a un servidor. Desde allí, se procede al envío de archivos infectados a todas las personas capturadas. A partir de ese momento, es capaz de realizar cualquier acción en el equipo y mientras se usa, roba contraseñas y nombres de usuarios.

Y para finalizar esta lista, se encuentra SquirrelWaffle, que ataca directamente a través de correos no deseados utilizando un mensaje familiar. Está disponible en varios idiomas y todo indica que se mantendrá muy activo en los próximos meses. Se recibe un archivo en formato ZIP que dentro contiene documentos office infectados. La amenaza se ejecuta en cualquier lugar del mundo sin ninguna limitación geográfica, por lo que hay que estar siempre atento.