Advierten sobre nuevo malware de Linux que apunta al sector financiero en América Latina

América LatinaBlackBerryciberseguridad
Valeria Romero

Los investigadores de seguridad de BlackBerry Threat Research & Intelligence e Intezer descubrieron un nuevo malware de naturaleza parasitaria al que han apodado Symbiote.

Este programa malicioso fue detectado por primera vez en 2021 y parece que fue diseñado para afectar a las principales instituciones financieras de Brasil, como Banco do Brasil y Caixa, según los nombres de dominio asociados al malware.

El objetivo principal de Symbiote es “capturar credenciales, proporcionar la funcionalidad de rootkit y la capacidad de acceso remoto”. La gran diferencia frente al típico malware es que compromete los procesos en ejecución, actuando como una biblioteca de objetos compartidos (SO) que se carga en todos procesos mediante archivos LD_PRELOAD, infectando la máquina sigilosamente y proporcionando a los atacantes el acceso remoto.

boGWuMtiRJtkLQHZxYmyunBgW2pcACUnJ hWDF3hdSCqXtbGMysBYaGndn7N1ryutsxcB3YnVfrvPWKwOg7 ewXl Ucy8Yio8KgoIg30TqvCRU6b3anqIG8wR6tXrTRlZdu4G2oJKus2zTAog
La imagen muestra un resumen de las técnicas de evasión de Symbiote. Imagen: Blackberry

A través de la directiva LD_PRELOAD, el malware se puede cargar previamente antes de cualquier otro objeto compartido, por lo que puede “secuestrar las importaciones” de otros archivos de la biblioteca y conectar funciones específicas como libc y libpcap para ocultar su presencia en la máquina.

Relacionado: América Latina: 600% más intentos de ciberataques en 2021

Cuando Symbiote ha logrado infectar un equipo, lo siguiente que hace es ocultarse a sí mismo y a cualquier otro archivo malicioso utilizado por el ciberatacante. Esta característica es lo que lo vuelve muy difícil de detectar, incluso realizando análisis forenses en vivo. Además, el malware permite al atacante iniciar sesión como cualquier otro usuario certificado y ejecutar comandos con privilegios de administrador.

Otros de los aspectos técnicos interesantes de Symbiote es su capacidad para encubrir el tráfico de su red utilizando el enganche Berkeley Packet Filter (BPF), el cual se inyecta en el kernel que define qué paquetes deben capturarse. “En este proceso, Symbiote agrega primero su código de bytes para poder filtrar el tráfico de red que no desea que vea el software de captura de paquetes”, explicó BlackBerry.

Hasta ahora no se ha encontrado evidencia de una infección a gran escala, sin embargo, los expertos en seguridad de BlackBerry recomiendan a los responsables de TI utilizar “la telemetría de red para detectar solicitudes de DNS anómalas”, así como el uso de otras herramientas de ciberseguridad como antivirus y la detección y respuesta de punto final (EDR), para verificar que no estén infectados los sistemas de un usuario.

Valeria Romero 2566 posts

Periodista de tecnología y cultura digital. Especialista en analizar las tendencias de la industria tecnológica, el ecosistema digital y de innovación con un enfoque regulatorio. Sigue temas como dispositivos, metaverso, chips, cripto, IA, streaming, entretenimiento, gaming, sostenibilidad y gadgets.

También podría gustarte Más del autor
Más historias

Akamai alerta que la Inteligencia Artificial agravará los ciber riesgos en 2026

América Latina | Conectividad WiFi segura en espacios públicos a través de portales cautivos

Venezuela | Nuevas designaciones del Gobierno venezolano fortalecen la ciencia y la ciberseguridad

1 De 1,301