Linux-varianter av Bifrost Trojan Evade Detection Via Typosquatting

Publisert av Platon

Følgere: 0

Linux-varianter av Bifrost Trojan Evade Detection via Typosquatting PlatoBlockchain Data Intelligence. Vertikalt søk. Ai.

En 20 år gammel trojaner dukket nylig opp igjen med nye varianter som retter seg mot Linux og utgir seg for å være et pålitelig vertsdomene for å unngå oppdagelse.

Forskere fra Palo Alto Networks oppdaget en ny Linux-variant av Bifrost (aka Bifrose) malware som bruker en villedende praksis kjent som Typosquatting for å etterligne et legitimt VMware-domene, som lar skadevaren fly under radaren. Bifrost er en fjerntilgang Trojan (RAT) som har vært aktiv siden 2004 og samler sensitiv informasjon, som vertsnavn og IP-adresse, fra et kompromittert system.

Det har vært en bekymringsfull økning i Bifrost Linux-varianter i løpet av de siste månedene: Palo Alto Networks har oppdaget mer enn 100 forekomster av Bifrost-prøver, noe som «vekker bekymring blant sikkerhetseksperter og organisasjoner», skrev forskerne Anmol Murya og Siddharth Sharma i selskapets rapport. nylig publiserte funn.

Dessuten er det bevis på at nettangripere har som mål å utvide Bifrosts angrepsoverflate ytterligere, ved å bruke en ondsinnet IP-adresse assosiert med en Linux-variant som også er vert for en ARM-versjon av Bifrost, sa de.

"Ved å tilby en ARM-versjon av skadelig programvare, kan angripere utvide grepet, kompromittere enheter som kanskje ikke er kompatible med x86-basert skadelig programvare," forklarte forskerne. "Når ARM-baserte enheter blir mer vanlige, vil nettkriminelle sannsynligvis endre taktikken til å inkludere ARM-basert skadelig programvare, noe som gjør angrepene deres sterkere og i stand til å nå flere mål."

Distribusjon og infeksjon

Angripere distribuerer vanligvis Bifrost gjennom e-postvedlegg eller ondsinnede nettsteder, bemerket forskerne, selv om de ikke utdypet den første angrepsvektoren for de nylig dukket opp Linux-varianter.

Palo Alto-forskere observerte et utvalg av Bifrost som var vert på en server på domenet 45.91.82[.]127. Når den er installert på et offers datamaskin, når Bifrost ut til et kommando-og-kontroll-domene (C2) med et villedende navn, download.vmfare[.]com, som ligner på et legitimt VMware-domene. Skadevaren samler inn brukerdata for å sende tilbake til denne serveren, ved å bruke RC4-kryptering for å kryptere dataene.

"Skadevare bruker ofte slike villedende domenenavn som C2 i stedet for IP-adresser for å unngå oppdagelse og gjøre det vanskeligere for forskere å spore kilden til den ondsinnede aktiviteten," skrev forskerne.

De observerte også skadelig programvare som prøvde å kontakte en Taiwan-basert offentlig DNS-løser med IP-adressen 168.95.1[.]1. Skadevaren bruker resolveren til å starte en DNS-spørring for å løse domenet download.vmfare[.]com, en prosess som er avgjørende for å sikre at Bifrost vellykket kan koble seg til den tiltenkte destinasjonen, ifølge forskerne.

Sikring av sensitive data

Selv om det kan være en gammeldags når det kommer til skadelig programvare, er Bifrost RAT fortsatt en betydelig og utviklende trussel mot enkeltpersoner og organisasjoner, spesielt med nye varianter som tar i bruk Typosquatting for å unngå oppdagelse, sa forskerne.

"Å spore og motvirke skadelig programvare som Bifrost er avgjørende for å beskytte sensitive data og bevare integriteten til datasystemer," skrev de. "Dette bidrar også til å minimere sannsynligheten for uautorisert tilgang og påfølgende skade."

I innlegget deres delte forskerne en liste over indikatorer på kompromiss, inkludert malware-prøver og domene- og IP-adresser knyttet til de nyeste Bifrost Linux-variantene. Forskerne anbefaler at bedrifter bruker neste generasjons brannmurprodukter og skyspesifikke sikkerhetstjenester – inkludert URL-filtrering, applikasjoner for å forebygge skadelig programvare og synlighet og analyser – for å sikre skymiljøer.

Til syvende og sist lar infeksjonsprosessen skadelig programvare omgå sikkerhetstiltak og unngå oppdagelse, og til slutt kompromittere målrettede systemer, sa forskerne.