Nowy linuksowy wariant trojana Bifrost naśladuje domenę VMware w celu uniknięcia ataku
Niedawno badacze z Palo Alto Networks odkryli nowy wariant trojana linuksowego Bifrost (znanego również jako Bifrose), który wykorzystuje zwodniczą praktykę znaną jako Typosquatting, aby naśladować zaufaną domenę VMware. Pozwala to złośliwemu oprogramowaniu pozostać niewykrytym. Bifrost to aktywny od 2004 roku wirus trojański zdalnego dostępu, który zbiera poufne informacje, takie jak nazwa hosta i adres IP z zainfekowanego systemu.
W ciągu ostatnich kilku miesięcy wykryto ponad 100 próbek Bifrost, co wzbudziło obawy wśród ekspertów ds. bezpieczeństwa i organizacji. Co więcej, istnieją dowody na to, że cyberprzestępcy planują jeszcze bardziej rozszerzyć powierzchnię ataku Bifrost poprzez wykorzystanie złośliwego adresu IP powiązanego z wariantem Linuksa, który hostuje wersję ARM Bifrost.
Cyberprzestępcy zazwyczaj dystrybuują Bifrost za pośrednictwem załączników do wiadomości e-mail lub złośliwych stron internetowych. Po zainstalowaniu na komputerze ofiary, Bifrost uzyskuje dostęp do domeny zarządzania i kontroli o zwodniczej nazwie, która wygląda podobnie do legalnej domeny VMware. Złośliwe oprogramowanie gromadzi dane użytkownika w celu wysłania ich z powrotem na ten serwer, wykorzystując szyfrowanie RC4 do szyfrowania danych.
Ostatecznie proces infekcji pozwala złośliwemu oprogramowaniu ominąć środki bezpieczeństwa, uniknąć wykrycia i ostatecznie skompromitować systemy docelowe, twierdzą naukowcy.
Źródło: Palo Alto Networks