Un cheval de Troie vieux de 20 ans a refait surface récemment avec de nouvelles variantes ciblant Linux et usurpant l'identité d'un domaine hébergé de confiance pour échapper à la détection.
Des chercheurs de Palo Alto Networks ont repéré une nouvelle variante Linux du Logiciel malveillant Bifrost (alias Bifrose) qui utilise une pratique trompeuse connue sous le nom de le typosquattage pour imiter un domaine VMware légitime, ce qui permet au malware de passer inaperçu. Bifrost est un cheval de Troie d'accès à distance (RAT) actif depuis 2004 et qui collecte des informations sensibles, telles que le nom d'hôte et l'adresse IP, à partir d'un système compromis.
Il y a eu une augmentation inquiétante des variantes de Bifrost Linux au cours des derniers mois : Palo Alto Networks a détecté plus de 100 instances d'échantillons Bifrost, ce qui « suscite des inquiétudes parmi les experts en sécurité et les organisations », ont écrit les chercheurs Anmol Murya et Siddharth Sharma dans le rapport de l'entreprise. découvertes récemment publiées.
De plus, il existe des preuves que les cyberattaquants visent à étendre encore plus la surface d'attaque de Bifrost, en utilisant une adresse IP malveillante associée à une variante Linux hébergeant également une version ARM de Bifrost, ont-ils déclaré.
"En fournissant une version ARM du malware, les attaquants peuvent étendre leur emprise, compromettant les appareils qui pourraient ne pas être compatibles avec les malwares basés sur x86", ont expliqué les chercheurs. « À mesure que les appareils basés sur ARM deviennent plus courants, les cybercriminels modifieront probablement leurs tactiques pour inclure des logiciels malveillants basés sur ARM, rendant ainsi leurs attaques plus puissantes et capables d'atteindre davantage de cibles. »
Distribution et infection
Les attaquants distribuent généralement Bifrost via des pièces jointes à des e-mails ou des sites Web malveillants, ont noté les chercheurs, bien qu'ils n'aient pas précisé le vecteur d'attaque initial pour les variantes Linux nouvellement apparues.
Les chercheurs de Palo Alto ont observé un échantillon de Bifrost hébergé sur un serveur du domaine 45.91.82[.]127. Une fois installé sur l'ordinateur d'une victime, Bifrost accède à un domaine de commande et de contrôle (C2) portant un nom trompeur, download.vmfare[.]com, qui ressemble à un domaine VMware légitime. Le malware collecte les données utilisateur à renvoyer à ce serveur, en utilisant le cryptage RC4 pour crypter les données.
"Les logiciels malveillants adoptent souvent des noms de domaine trompeurs tels que C2 au lieu d'adresses IP pour échapper à la détection et rendre plus difficile pour les chercheurs la recherche de la source de l'activité malveillante", ont écrit les chercheurs.
Ils ont également observé que le logiciel malveillant tentait de contacter un résolveur DNS public basé à Taiwan avec l'adresse IP 168.95.1[.]1. Le malware utilise le résolveur pour lancer une requête DNS afin de résoudre le domaine download.vmfare[.]com, un processus crucial pour garantir que Bifrost puisse se connecter avec succès à sa destination prévue, selon les chercheurs.
Sauvegarde des données sensibles
Bien qu'il s'agisse d'un ancien logiciel malveillant, le RAT Bifrost reste une menace importante et évolutive pour les individus et les organisations, en particulier avec l'adoption de nouvelles variantes. le typosquattage pour échapper à la détection, ont déclaré les chercheurs.
"Le suivi et la lutte contre les logiciels malveillants comme Bifrost sont essentiels pour protéger les données sensibles et préserver l'intégrité des systèmes informatiques", ont-ils écrit. « Cela permet également de minimiser la probabilité d’un accès non autorisé et de dommages ultérieurs. »
Dans leur article, les chercheurs ont partagé une liste d'indicateurs de compromission, notamment des échantillons de logiciels malveillants et des adresses de domaine et IP associées aux dernières variantes de Bifrost Linux. Les chercheurs conseillent aux entreprises d'utiliser des produits de pare-feu de nouvelle génération et services de sécurité spécifiques au cloud - y compris le filtrage d'URL, les applications de prévention contre les logiciels malveillants, ainsi que la visibilité et l'analyse - pour sécuriser les environnements cloud.
En fin de compte, le processus d'infection permet au malware de contourner les mesures de sécurité et d'échapper à la détection, et finalement de compromettre les systèmes ciblés, ont indiqué les chercheurs.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-
- :possède
- :est
- :ne pas
- 100
- 7
- 91
- a
- Capable
- accès
- Selon
- infection
- activité
- propos
- adresses
- L'adoption d'
- conseiller
- objectif
- aka
- même
- permet
- aussi
- parmi
- an
- analytique
- et les
- apparaît
- applications
- BRAS
- AS
- associé
- At
- attaquer
- Attaques
- RETOUR
- BE
- devenez
- était
- Bifrost
- by
- contourner
- CAN
- Change
- le cloud
- vient
- Commun
- Société
- compatible
- compromis
- Compromise
- compromettre
- ordinateur
- Préoccupations
- NOUS CONTACTER
- contact
- crucial
- les cybercriminels
- données
- destination
- détecté
- Détection
- Compatibles
- didn
- difficile
- distribuer
- distribution
- dns
- domaine
- NOMS DE DOMAINE
- download
- pendant
- Élaborer
- crypter
- chiffrement
- assurer
- entreprises
- environnements
- éluder
- Pourtant, la
- preuve
- évolution
- Développer vous
- de santé
- expliqué
- few
- filtration
- résultats
- pare-feu
- Pour
- De
- plus
- saisir
- nuire
- aide
- organisé
- hébergement
- HTTPS
- imiter
- in
- comprendre
- Y compris
- Indicateurs
- individus
- d'information
- initiale
- initier
- Installé
- plutôt ;
- intégrité
- prévu
- IP
- IP dédiée
- adresses IP
- IT
- SES
- connu
- Nouveautés
- légitime
- comme
- probabilité
- Probable
- linux
- Liste
- a prendre une
- Fabrication
- malveillant
- malware
- Mai..
- les mesures
- minimiser
- mois
- PLUS
- prénom
- noms
- réseaux
- Nouveauté
- nouvellement
- La prochaine génération
- noté
- of
- souvent
- on
- une fois
- or
- organisations
- ande
- Palo Alto
- particulièrement
- passé
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Post
- pratique
- conservation
- processus
- Produits
- aportando
- public
- publié
- question
- radar
- soulève
- RAT
- nous joindre
- atteint
- récemment
- reste
- éloigné
- accès à distance
- chercheurs
- résoudre
- s
- la sauvegarde
- Saïd
- échantillon
- sécurisé
- sécurité
- Mesures de sécurité
- envoyer
- sensible
- serveur
- commun
- Sharma
- significative
- similaires
- depuis
- Identifier
- épi
- plus efficacement
- ultérieur
- Avec succès
- tel
- Surface
- combustion propre
- Système
- tactique
- Target
- des campagnes marketing ciblées,
- objectifs
- que
- qui
- Le
- La Source
- leur
- Là.
- l'ont
- this
- bien que?
- menace
- Avec
- à
- Tracer
- Tracking
- Trojan
- confiance
- essayer
- typiquement
- En fin de compte
- non autorisé
- sous
- URL
- utilisé
- Utilisateur
- Usages
- en utilisant
- Variante
- version
- via
- Victime
- définition
- vmware
- sites Internet
- WELL
- quand
- qui
- sera
- comprenant
- inquiétant
- écrit
- zéphyrnet
