Symbiote Linux malware
A Symbiote abban különbözik a többi Linux rosszindulatú programtól, hogy megfertőzi a futó folyamatokat. Nem egy önálló fájl, hanem egy megosztott objektum könyvtár, amely az LD_PRELOAD (T1574.006) használatával minden futó folyamatba betöltődik, és parazita módon megfertőzi a gépet. A fertőzte gyűjti a rootkit funkciókat, hitelesítő adatok és távoli hozzáférést biztosít a támadóknak – áll a Intezer és a BlackBerry Threat Research & Intelligence jelentésében.
Miután a rosszindulatú program megfertőzte a gépet, elrejti magát és a támadáshoz köthető programot, ami nagyon megnehezíti a fertőzések észlelését. Előfordulhat, hogy semmi sem derül ki egy forensics vizsgálat alatt, mivel az összes fájlt, folyamatot és alklamazást elrejt.
A Symbiote kódjait 2021 novemberében észlelték első alkalommal a latin-amerikai pénzügyi szektorban. A kutatók nem találtak elegendő bizonyítékot annak megállapítására, hogy a Symbiote-ot egy célzott eszköz, vagy széles körű támadásokra használják.