Un trojan di 20 anni fa è riemerso di recente con nuove varianti che prendono di mira Linux e si spacciano per un dominio ospitato affidabile per eludere il rilevamento.
I ricercatori di Palo Alto Networks hanno individuato una nuova variante Linux di Malware Bifrost (noto anche come Bifrose). che utilizza una pratica ingannevole nota come typosquatting per imitare un dominio VMware legittimo, che consente al malware di volare sotto il radar. Bifrost è un Trojan di accesso remoto (RAT) attivo dal 2004 e raccoglie informazioni sensibili, come nome host e indirizzo IP, da un sistema compromesso.
Negli ultimi mesi si è verificato un picco preoccupante nelle varianti Bifrost Linux: Palo Alto Networks ha rilevato più di 100 esempi di campioni Bifrost, il che "solleva preoccupazioni tra gli esperti e le organizzazioni di sicurezza", hanno scritto i ricercatori Anmol Murya e Siddharth Sharma nel comunicato aziendale della società. risultati appena pubblicati.
Inoltre, ci sono prove che gli hacker mirano ad espandere ulteriormente la superficie di attacco di Bifrost, utilizzando un indirizzo IP dannoso associato a una variante Linux che ospita anche una versione ARM di Bifrost.
"Fornendo una versione ARM del malware, gli aggressori possono espandere la loro portata, compromettendo i dispositivi che potrebbero non essere compatibili con il malware basato su x86", hanno spiegato i ricercatori. “Man mano che i dispositivi basati su ARM diventano più comuni, i criminali informatici probabilmente cambieranno le loro tattiche per includere malware basati su ARM, rendendo i loro attacchi più forti e in grado di raggiungere più obiettivi”.
Distribuzione e infezione
Gli aggressori in genere distribuiscono Bifrost tramite allegati di posta elettronica o siti Web dannosi, hanno osservato i ricercatori, sebbene non abbiano elaborato il vettore di attacco iniziale per le varianti Linux appena emerse.
I ricercatori di Palo Alto hanno osservato un campione di Bifrost ospitato su un server al dominio 45.91.82[.]127. Una volta installato sul computer della vittima, Bifrost accede a un dominio di comando e controllo (C2) con un nome ingannevole, download.vmfare[.]com, che sembra simile a un dominio VMware legittimo. Il malware raccoglie i dati dell'utente per inviarli a questo server, utilizzando la crittografia RC4 per crittografare i dati.
"Il malware spesso adotta nomi di dominio ingannevoli come C2 invece di indirizzi IP per eludere il rilevamento e rendere più difficile per i ricercatori risalire all'origine dell'attività dannosa", hanno scritto i ricercatori.
Hanno anche osservato che il malware tentava di contattare un risolutore DNS pubblico con sede a Taiwan con l'indirizzo IP 168.95.1[.]1. Il malware utilizza il risolutore per avviare una query DNS per risolvere il dominio download.vmfare[.]com, un processo fondamentale per garantire che Bifrost possa connettersi con successo alla destinazione prevista, secondo i ricercatori.
Tutela dei dati sensibili
Sebbene possa essere un veterano quando si tratta di malware, il Bifrost RAT rimane una minaccia significativa e in evoluzione sia per gli individui che per le organizzazioni, in particolare con l'adozione di nuove varianti typosquatting per eludere il rilevamento, hanno detto i ricercatori.
"Tracciare e contrastare malware come Bifrost è fondamentale per salvaguardare i dati sensibili e preservare l'integrità dei sistemi informatici", hanno scritto. "Ciò aiuta anche a ridurre al minimo la probabilità di accesso non autorizzato e di conseguenti danni."
Nel loro post, i ricercatori hanno condiviso un elenco di indicatori di compromissione, inclusi campioni di malware e indirizzi IP e di dominio associati alle ultime varianti di Bifrost Linux. I ricercatori consigliano alle aziende di utilizzare prodotti firewall di prossima generazione e servizi di sicurezza specifici del cloud - inclusi filtraggio URL, applicazioni di prevenzione malware, visibilità e analisi - per proteggere gli ambienti cloud.
In definitiva, il processo di infezione consente al malware di aggirare le misure di sicurezza ed eludere il rilevamento, fino a compromettere i sistemi presi di mira, hanno affermato i ricercatori.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-
- :ha
- :È
- :non
- 100
- 7
- 91
- a
- capace
- accesso
- Secondo
- attivo
- attività
- indirizzo
- indirizzi
- Adottando
- aiutarti
- puntare
- aka
- nello stesso modo
- consente
- anche
- tra
- an
- analitica
- ed
- appare
- applicazioni
- ARM
- AS
- associato
- At
- attacco
- attacchi
- precedente
- BE
- diventare
- stato
- Bifrost
- by
- aggirare
- Materiale
- il cambiamento
- Cloud
- viene
- Uncommon
- azienda
- compatibile
- compromesso
- Compromissione
- compromettendo
- computer
- preoccupazioni
- Connettiti
- contatti
- cruciale
- i criminali informatici
- dati
- destinazione
- rilevato
- rivelazione
- dispositivi
- didn
- difficile
- distribuire
- distribuzione
- dns
- dominio
- NOMI DI DOMINIO
- scaricare
- durante
- Elaborare
- cifrare
- crittografia
- garantire
- aziende
- ambienti
- Evade
- Anche
- prova
- evoluzione
- Espandere
- esperti
- ha spiegato
- pochi
- filtraggio
- I risultati
- firewall
- Nel
- da
- ulteriormente
- afferrala
- nuocere
- aiuta
- ospitato
- di hosting
- HTTPS
- impersonare
- in
- includere
- Compreso
- individui
- informazioni
- inizialmente
- avviare
- installato
- invece
- interezza
- destinato
- IP
- Indirizzo IP
- Gli indirizzi IP
- IT
- SUO
- conosciuto
- con i più recenti
- legittimo
- piace
- probabilità
- probabile
- linux
- Lista
- make
- Fare
- maligno
- il malware
- Maggio..
- analisi
- ridurre al minimo
- mese
- Scopri di più
- Nome
- nomi
- reti
- New
- recentemente
- prossima generazione
- noto
- of
- di frequente
- on
- una volta
- or
- organizzazioni
- su
- palo Alto
- particolarmente
- passato
- Platone
- Platone Data Intelligence
- PlatoneDati
- Post
- pratica
- preservare
- processi
- Prodotti
- fornitura
- la percezione
- pubblicato
- domanda
- radar
- solleva
- RAT
- raggiungere
- raggiunge
- recentemente
- resti
- a distanza
- accesso remoto
- ricercatori
- risolvere
- s
- salvaguardare
- Suddetto
- campione
- sicuro
- problemi di
- Misure di sicurezza
- inviare
- delicata
- server
- condiviso
- Sharma
- significativa
- simile
- da
- Fonte
- spuntone
- più forte
- successivo
- Con successo
- tale
- superficie
- sistema
- SISTEMI DI TRATTAMENTO
- tattica
- Target
- mirata
- obiettivi
- di
- che
- Il
- L’ORIGINE
- loro
- Là.
- di
- questo
- anche se?
- minaccia
- Attraverso
- a
- Traccia
- Tracking
- Trojan
- di fiducia
- cerca
- tipicamente
- in definitiva
- non autorizzato
- per
- URL
- uso
- Utente
- usa
- utilizzando
- Variante
- versione
- via
- Vittima
- visibilità
- vmware
- siti web
- WELL
- quando
- quale
- volere
- con
- preoccupante
- ha scritto
- zefiro
