Malware Linux Tersembunyi yang Menargetkan Sektor Keuangan Amerika Latin

Stealthy Linux Malware

Peneliti keamanan siber telah mengungkap apa yang mereka sebut sebagai malware Linux “hampir mustahil untuk dideteksi” yang dapat dijadikan senjata untuk sistem yang terinfeksi dari pintu belakang.

Dijuluki symbiote oleh perusahaan intelijen ancaman BlackBerry dan Intezer, malware tersembunyi ini dinamai demikian karena kemampuannya untuk menyembunyikan dirinya dalam proses yang berjalan dan lalu lintas jaringan dan menguras sumber daya korban seperti parasit.

Operator di belakang Symbiote diyakini telah memulai pengembangan malware pada November 2021, dengan pelaku ancaman yang sebagian besar menggunakannya untuk menargetkan sektor keuangan di Amerika Latin, termasuk bank seperti Banco do Brasil dan Caixa.

“Tujuan utama Symbiote adalah untuk menangkap kredensial dan untuk memfasilitasi akses pintu belakang ke mesin korban,” kata peneliti Joakim Kennedy dan Ismael Valenzuela dalam sebuah laporan yang dibagikan kepada The Hacker News. “Apa yang membuat Symbiote berbeda dari malware Linux lainnya adalah ia menginfeksi proses yang sedang berjalan daripada menggunakan file yang dapat dijalankan yang berdiri sendiri untuk menimbulkan kerusakan.”

Keamanan cyber

Ini dicapai dengan memanfaatkan fitur Linux asli yang disebut LD_PRELOAD — metode yang sebelumnya digunakan oleh malware seperti Pro-Ocean dan Facefish — sehingga dapat dimuat oleh penghubung dinamis ke semua proses yang berjalan dan menginfeksi host.

Selain menyembunyikan keberadaannya di sistem file, Symbiote juga mampu menyelubungi lalu lintas jaringannya dengan memanfaatkan fitur Berkeley Packet Filter (eBPF) yang diperluas. Ini dilakukan dengan menyuntikkan dirinya ke dalam proses perangkat lunak inspeksi dan menggunakan BPF untuk menyaring hasil yang akan mengungkap aktivitasnya.

Related Post :   Peneliti Mengungkapkan 56 Kerentanan yang Berdampak pada Perangkat OT dari 10 Vendor

Setelah membajak semua proses yang berjalan, Symbiote mengaktifkan fungsionalitas rootkit untuk lebih jauh menyembunyikan bukti keberadaannya dan menyediakan pintu belakang bagi pelaku ancaman untuk masuk ke mesin dan menjalankan perintah istimewa. Itu juga telah diamati menyimpan kredensial yang diambil yang dienkripsi dalam file yang menyamar sebagai file header C.

Keamanan cyber

Ini bukan pertama kalinya malware dengan kemampuan serupa ditemukan di alam liar. Pada Februari 2014, ESET mengungkapkan backdoor Linux bernama Ebury yang dibuat untuk mencuri kredensial OpenSSH dan mempertahankan akses ke server yang disusupi.

Lebih jauh lagi, pengungkapan tersebut tiba hampir sebulan setelah perincian muncul tentang implan pasif berbasis Linux yang disebut BPPFoor yang memuat sniffer Berkeley Packet Filter (BPF) untuk memantau lalu lintas jaringan dan memulai shell pengikatan sambil melewati perlindungan firewall.

“Karena malware beroperasi sebagai rootkit tingkat pengguna, mendeteksi infeksi mungkin sulit,” para peneliti menyimpulkan. “Telemetri jaringan dapat digunakan untuk mendeteksi permintaan DNS yang tidak wajar dan alat keamanan seperti AV dan EDR harus ditautkan secara statis untuk memastikan mereka tidak ‘terinfeksi’ oleh rootkit userland.”


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.