Un troyano de 20 años resurgió recientemente con nuevas variantes que apuntan a Linux y se hacen pasar por un dominio alojado confiable para evadir la detección.
Investigadores de Palo Alto Networks detectaron una nueva variante de Linux del Malware Bifrost (también conocido como Bifrose) que utiliza una práctica engañosa conocida como Typosquatting para imitar un dominio VMware legítimo, lo que permite que el malware pase desapercibido. Bifrost es un troyano de acceso remoto (RAT) que ha estado activo desde 2004 y recopila información confidencial, como el nombre de host y la dirección IP, de un sistema comprometido.
Ha habido un aumento preocupante en las variantes de Bifrost Linux durante los últimos meses: Palo Alto Networks ha detectado más de 100 instancias de muestras de Bifrost, lo que "genera preocupaciones entre los expertos y organizaciones de seguridad", escribieron los investigadores Anmol Murya y Siddharth Sharma en el informe de la compañía. hallazgos recientemente publicados.
Además, hay pruebas de que los ciberatacantes pretenden ampliar aún más la superficie de ataque de Bifrost, utilizando una dirección IP maliciosa asociada con una variante de Linux que aloja también una versión ARM de Bifrost, dijeron.
"Al proporcionar una versión ARM del malware, los atacantes pueden ampliar su alcance, comprometiendo dispositivos que pueden no ser compatibles con el malware basado en x86", explicaron los investigadores. "A medida que los dispositivos basados en ARM se vuelvan más comunes, los ciberdelincuentes probablemente cambiarán sus tácticas para incluir malware basado en ARM, haciendo que sus ataques sean más fuertes y capaces de alcanzar más objetivos".
Distribución e infección
Los atacantes normalmente distribuyen Bifrost a través de archivos adjuntos de correo electrónico o sitios web maliciosos, señalaron los investigadores, aunque no dieron más detalles sobre el vector de ataque inicial para las variantes de Linux recién aparecidas.
Los investigadores de Palo Alto observaron una muestra de Bifrost alojada en un servidor en el dominio 45.91.82[.]127. Una vez instalado en la computadora de la víctima, Bifrost llega a un dominio de comando y control (C2) con un nombre engañoso, download.vmfare[.]com, que parece similar a un dominio VMware legítimo. El malware recopila datos del usuario para enviarlos a este servidor, utilizando cifrado RC4 para cifrar los datos.
"El malware a menudo adopta nombres de dominio engañosos como C2 en lugar de direcciones IP para evadir la detección y hacer más difícil para los investigadores rastrear el origen de la actividad maliciosa", escribieron los investigadores.
También observaron que el malware intentaba ponerse en contacto con un solucionador de DNS público con sede en Taiwán con la dirección IP 168.95.1[.]1. El malware utiliza el solucionador para iniciar una consulta DNS para resolver el dominio download.vmfare[.]com, un proceso que es crucial para garantizar que Bifrost pueda conectarse exitosamente a su destino previsto, según los investigadores.
Protección de datos confidenciales
Aunque puede ser un programa antiguo en lo que respecta a malware, Bifrost RAT sigue siendo una amenaza importante y en evolución tanto para individuos como para organizaciones, particularmente con nuevas variantes que adoptan Typosquatting para evadir la detección, dijeron los investigadores.
"Rastrear y contrarrestar malware como Bifrost es crucial para salvaguardar datos confidenciales y preservar la integridad de los sistemas informáticos", escribieron. "Esto también ayuda a minimizar la probabilidad de acceso no autorizado y daños posteriores".
En su publicación, los investigadores compartieron una lista de indicadores de compromiso, incluidas muestras de malware y direcciones IP y de dominio asociadas con las últimas variantes de Bifrost Linux. Los investigadores aconsejan que las empresas utilicen productos de firewall de próxima generación y servicios de seguridad específicos de la nube (incluido filtrado de URL, aplicaciones de prevención de malware y visibilidad y análisis) para proteger entornos en la nube.
En última instancia, el proceso de infección permite que el malware eluda las medidas de seguridad y evada la detección y, en última instancia, comprometa los sistemas específicos, dijeron los investigadores.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-
- :posee
- :es
- :no
- 100
- 7
- 91
- a
- Poder
- de la máquina
- Conforme
- lector activo
- actividad
- dirección
- direcciones
- Adopción
- asesorar
- objetivo
- aka
- igual
- permite
- también
- entre
- an
- Analytics
- y
- aparece
- aplicaciones
- ARM
- AS
- asociado
- At
- atacar
- ataques
- Atrás
- BE
- a las que has recomendado
- esto
- Bifrost
- by
- evitar
- PUEDEN
- el cambio
- Soluciones
- proviene
- Algunos
- compañía
- compatible
- compromiso
- Comprometida
- comprometer
- computadora
- Inquietudes
- Contacto
- contacte
- crucial
- ciberdelincuentes
- datos
- destino
- detectado
- Detección
- Dispositivos
- no hizo
- difícil
- distribuir
- dns
- dominio
- NOMBRES DE DOMINIO
- descargar
- durante
- Elaborar
- cifrar
- cifrado
- garantizar
- empresas
- ambientes
- escapar
- Incluso
- evidencia sólida
- evolución
- Expandir
- expertos
- explicado
- pocos
- filtración
- Los resultados
- cortafuegos
- Desde
- promover
- agarrar
- daño
- ayuda
- organizado
- hosting
- HTTPS
- personificar
- in
- incluir
- Incluye
- indicadores
- individuos
- información
- inicial
- iniciar
- instalado
- integridad
- Destinado a
- IP
- Dirección IP
- Direcciones IP
- IT
- SUS
- conocido
- más reciente
- legítima
- como
- probabilidad
- que otros
- Linux
- Lista
- para lograr
- Realizar
- malicioso
- el malware
- Puede..
- medidas
- minimizar
- meses
- más,
- nombre
- nombres
- telecomunicaciones
- Nuevo
- recién
- próxima generación
- señaló
- of
- a menudo
- on
- una vez
- or
- para las fiestas.
- salir
- Palo Alto
- particularmente
- pasado
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Publicación
- conservación
- Productos
- proporcionando
- público
- publicado
- pregunta
- radar
- plantea
- RATA
- en comunicarse
- alcances
- recientemente
- permanece
- sanaciones
- acceso remoto
- investigadores
- Resolvemos
- s
- salvaguardar
- Said
- muestra
- seguro
- EN LINEA
- Medidas de Seguridad
- envío
- sensible
- servidor
- compartido
- Sharma
- importante
- similares
- desde
- Fuente
- espiga
- más fuerte
- posterior
- Con éxito
- tal
- Superficie
- te
- Todas las funciones a su disposición
- táctica
- Target
- afectados
- tiene como objetivo
- que
- esa
- La
- La Fuente
- su
- Ahí.
- ellos
- así
- ¿aunque?
- amenaza
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- a
- Trace
- Seguimiento
- Trojan
- de confianza
- tratando de
- típicamente
- Finalmente, a veces
- no autorizado
- bajo
- Enlance
- utilizan el
- Usuario
- usos
- usando
- Variante
- versión
- vía
- Víctima
- la visibilidad
- vmware
- sitios web
- WELL
- cuando
- que
- seguirá
- preocupante
- escribí
- zephyrnet