Malware Linux Tersembunyi yang Menargetkan Sektor Keuangan Amerika Latin

  • Bagikan
Stealthy Linux Malware

Beritaini.top Malware Linux Tersembunyi yang Menargetkan Sektor Keuangan Amerika Latin

Malware Linux Tersembunyi

Peneliti keamanan siber telah mengungkap apa yang mereka sebut sebagai malware Linux “hampir mustahil untuk dideteksi” yang dapat dijadikan senjata untuk sistem yang terinfeksi dari pintu belakang.

Dijuluki symbiote oleh perusahaan intelijen ancaman BlackBerry dan Intezer, malware tersembunyi ini dinamai demikian karena kemampuannya untuk menyembunyikan dirinya dalam proses yang berjalan dan lalu lintas jaringan serta menguras sumber daya korban seperti parasit.

Operator di belakang Symbiote diyakini telah memulai pengembangan malware pada November 2021, dengan pelaku ancaman yang sebagian besar menggunakannya untuk menargetkan sektor keuangan di Amerika Latin, termasuk bank seperti Banco do Brasil dan Caixa.

“Tujuan utama Symbiote adalah untuk menangkap kredensial dan untuk memfasilitasi akses pintu belakang ke mesin korban,” kata peneliti Joakim Kennedy dan Ismael Valenzuela dalam sebuah laporan dibagikan dengan The Hacker News. “Apa yang membuat Symbiote berbeda dari malware Linux lainnya adalah ia menginfeksi proses yang sedang berjalan daripada menggunakan file yang dapat dijalankan yang berdiri sendiri untuk menimbulkan kerusakan.”

Keamanan cyber

Ini mencapai ini dengan memanfaatkan fitur Linux asli yang disebut LD_PRELOAD — metode yang sebelumnya digunakan oleh malware seperti Pro-Ocean dan Facefish — untuk dimuat oleh penghubung dinamis ke semua proses yang berjalan dan menginfeksi host.

1654840359 410 Malware Linux Tersembunyi yang Menargetkan Sektor Keuangan Amerika Latin

Selain menyembunyikan keberadaannya di sistem file, Symbiote juga mampu menyembunyikan lalu lintas jaringannya dengan memanfaatkan fitur Berkeley Packet Filter (eBPF) yang diperluas. Ini dilakukan dengan menyuntikkan dirinya ke dalam proses perangkat lunak inspeksi dan menggunakan BPF untuk menyaring hasil yang akan mengungkap aktivitasnya.

Setelah membajak semua proses yang berjalan, Symbiote mengaktifkan fungsionalitas rootkit untuk lebih jauh menyembunyikan bukti keberadaannya dan menyediakan pintu belakang bagi pelaku ancaman untuk masuk ke mesin dan menjalankan perintah istimewa. Itu juga telah diamati menyimpan kredensial yang diambil yang dienkripsi dalam file yang menyamar sebagai C header file.

Keamanan cyber

Ini bukan pertama kalinya malware dengan kemampuan serupa ditemukan di alam liar. Pada bulan Februari 2014, ESET mengungkapkan backdoor Linux yang disebut Ebury yang dibuat untuk mencuri kredensial OpenSSH dan mempertahankan akses ke server yang disusupi.

Selanjutnya, pengungkapan tiba hampir sebulan setelah rincian muncul tentang mengelak berbasis Linux implan pasif ditelepon BPFDoor yang memuat sniffer Berkeley Packet Filter (BPF) untuk memantau lalu lintas jaringan dan memulai shell pengikatan saat melewati perlindungan firewall.

“Karena malware beroperasi sebagai rootkit tingkat pengguna, mendeteksi infeksi mungkin sulit,” para peneliti menyimpulkan. “Telemetri jaringan dapat digunakan untuk mendeteksi permintaan DNS yang tidak wajar dan alat keamanan seperti AV dan EDR harus ditautkan secara statis untuk memastikan mereka tidak ‘terinfeksi’ oleh rootkit userland.”

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.