Les chercheurs en sécurité d’Intezer et de BlackBerry ont documenté Symbiote, un logiciel malveillant Linux tout à fait unique et polyvalent qui est presque impossible à détecter.
« Ce qui différencie Symbiote des autres logiciels malveillants Linux que nous rencontrons habituellement, c’est qu’il doit infecter d’autres processus en cours d’exécution pour infliger des dommages aux machines infectées.
Il fonctionne comme un rootkit , il peut servir de porte dérobée (permettant aux attaquants de se connecter à distance), il peut exécuter des commandes avec les privilèges les plus élevés.
« Les noms de domaine utilisés par le malware Symbiote se font passer pour certaines grandes banques brésiliennes. Cela suggère que ces banques ou leurs clients sont des cibles potentielles », ont noté les chercheurs, mais ont déclaré qu’ils n’étaient pas en mesure de déterminer si le logiciel malveillant était utilisé dans des attaques ciblées ou étendues.
Le seul échantillon sur lequel ils ont mis la main et les noms de domaine associés les ont conduits à deux autres échantillons téléchargés sur VirusTotal. il est donc possible que les échantillons aient été soumis à VirusTotal pour tester la détection antivirus avant d’être utilisés.
La manière dont le logiciel malveillant est transmis aux cibles n’est pas connue, mais une fois qu’il a infecté une machine, il se cache lui-même en éffaçant ces traces.
Effectuer des analyses en direct sur une machine infectée peut ne rien révéler de la présence du logiciel malveillant, ont noté les chercheurs, et comme il fonctionne comme un rootkit au niveau de l’utilisateur, la détection est rendue encore plus difficile.
Avez-vous trouvé cet article intéressant ? Suivez-nous sur Facebook, Twitter et LinkedIn 😉