Исследователи из BlackBerry и Intezer Labs обнаружили вредоносную программу в Linux, известную как Symbiote. Она заражает все запущенные процессы и предоставляет доступ через бэкдор к уязвимым системам. Заразив все запущенные процессы, вредоносное ПО не оставляет никаких видимых признаков заражения.
Symbiote использует функцию перехвата пакетов BPF (Berkeley Packet Filter), чтобы скрывать свои каналы связи от различных систем защиты. По словам исследователей, Symbiote находится в активной разработке с прошлого года.
Для скрытия сетевой активности на скомпрометированной системе, Symbiote очищает записи о необходимых соединениях, выполняет фильтрацию пакетов через BPF и удаляет UDP-трафик к доменным именам из своего списка.
Целями вредоносного ПО в основном являются финансовые организации Латинской Америки. Ожидается, что в ближайший период число таких продвинутых угроз с высокой степенью уклонения от атак на системы Linux значительно возрастет.