analytics-3088958_640.jpg

Malware busca credenciais de bancos brasileiros no Linux

Da Redação
09/06/2022

Um malware para máquinas Linux quase impossível de ser detectado foi descoberto por pesquisadores da BlackBerry e da Intezer: operando com dezenas de estratégias de evasão ao ser executado e ao gerar tráfego de rede, tem numerosos indícios de ter sido projetado para atacar clientes de bancos brasileiros segundo o detalhado relatório publicado pelas duas empresas com a assinatura do pesquisador Joakim Kennedy, da Intezer, e da equipe de pesquisas da BlackBerry.

Batizado com o nome de “Simbiota”, ele tem uma natureza classificada como parasitária e precisa infectar processos em execução para causar danos às máquinas. Em vez de ser um arquivo executável autônomo que é executado para infectar uma máquina, é uma biblioteca de objeto compartilhada (SO), que é carregada em todos os processos em execução usando o LD_PRELOAD (T1574.006) e infecta a máquina de forma parasitária. Depois de infectar todos os processos em execução, ele fornece ao agente de ameaças a funcionalidade de rootkit, a capacidade de coletar credenciais e o recurso de acesso remoto.

Veja isso
GitHub passa a rastrear armazenamento de credenciais
Hackers anunciam ataque a cinco bancos israelenses

Na primeira detecção, em novembro de 2021, diz o relatório, já ficou claro que os alvos eram bancos latino americanos, diz o relatório: “Depois que o malware infecta uma máquina, ele oculta a si mesmo e a qualquer outro malware usado pelo agente da ameaça, tornando as infecções muito difíceis de detectar. A execução de perícias ao vivo em uma máquina infectada pode não revelar nada, pois todos os arquivos, processos e artefatos de rede estão ocultos pelo malware. Além do recurso de rootkit, o malware fornece um backdoor para que o agente da ameaça faça login como qualquer usuário na máquina com uma senha codificada e execute comandos com os privilégios mais altos”.

Os nomes de domínio usados pelo Symbiote tentaram imitar os de alguns dos grandes bancos brasileiros, sugerindo que esses bancos ou seus clientes são os alvos potenciais, diz o relatório. Foram também utilizados nomes de domínio buscando imitar nomes de organismos policiais brasileiros.

Os relatórios da Intezer e da BlackBerry são idênticos e se encontram respectivamente em
“hxxps://www.intezer.com/blog/research/new-linux-threat-symbiote/”
“https://blogs.blackberry.com/en/2022/06/symbiote-a-new-nearly-impossible-to-detect-linux-threat”

Compartilhar: