Um Trojan de 20 anos ressurgiu recentemente com novas variantes que visam o Linux e se fazem passar por um domínio hospedado confiável para evitar a detecção.
Pesquisadores da Palo Alto Networks detectaram uma nova variante Linux do Malware Bifrost (também conhecido como Bifrose) que usa uma prática enganosa conhecida como typosquatting para imitar um domínio VMware legítimo, o que permite que o malware passe despercebido. Bifrost é um Trojan de acesso remoto (RAT) que está ativo desde 2004 e coleta informações confidenciais, como nome de host e endereço IP, de um sistema comprometido.
Houve um aumento preocupante nas variantes do Bifrost Linux durante os últimos meses: a Palo Alto Networks detectou mais de 100 instâncias de amostras do Bifrost, o que “levanta preocupações entre especialistas e organizações de segurança”, escreveram os pesquisadores Anmol Murya e Siddharth Sharma no relatório da empresa. descobertas recentemente publicadas.
Além disso, há evidências de que os ciberataques pretendem expandir ainda mais a superfície de ataque do Bifrost, usando um endereço IP malicioso associado a uma variante do Linux que hospeda também uma versão ARM do Bifrost, disseram eles.
“Ao fornecer uma versão ARM do malware, os invasores podem expandir seu alcance, comprometendo dispositivos que podem não ser compatíveis com malware baseado em x86”, explicaram os pesquisadores. “À medida que os dispositivos baseados em ARM se tornam mais comuns, os cibercriminosos provavelmente mudarão suas táticas para incluir malware baseado em ARM, tornando seus ataques mais fortes e capazes de atingir mais alvos.”
Distribuição e infecção
Os invasores normalmente distribuem o Bifrost por meio de anexos de e-mail ou sites maliciosos, observaram os pesquisadores, embora não tenham elaborado o vetor de ataque inicial para as variantes do Linux recém-surgidas.
Pesquisadores de Palo Alto observaram uma amostra do Bifrost hospedada em um servidor no domínio 45.91.82[.]127. Uma vez instalado no computador da vítima, o Bifrost acessa um domínio de comando e controle (C2) com um nome enganoso, download.vmfare[.]com, que parece semelhante a um domínio VMware legítimo. O malware coleta dados do usuário para enviar de volta a este servidor, usando criptografia RC4 para criptografar os dados.
“O malware muitas vezes adota nomes de domínio enganosos como C2 em vez de endereços IP para evitar a detecção e tornar mais difícil para os pesquisadores rastrear a origem da atividade maliciosa”, escreveram os pesquisadores.
Eles também observaram o malware tentando entrar em contato com um resolvedor de DNS público baseado em Taiwan com o endereço IP 168.95.1[.]1. O malware usa o resolvedor para iniciar uma consulta DNS para resolver o domínio download.vmfare[.]com, um processo que é crucial para garantir que o Bifrost possa se conectar com sucesso ao destino pretendido, de acordo com os pesquisadores.
Protegendo dados confidenciais
Embora possa ser antigo quando se trata de malware, o Bifrost RAT continua sendo uma ameaça significativa e em evolução para indivíduos e organizações, especialmente com a adoção de novas variantes. typosquatting para evitar a detecção, disseram os pesquisadores.
“Rastrear e neutralizar malware como o Bifrost é crucial para proteger dados confidenciais e preservar a integridade dos sistemas de computador”, escreveram. “Isso também ajuda a minimizar a probabilidade de acesso não autorizado e danos subsequentes.”
Em sua postagem, os pesquisadores compartilharam uma lista de indicadores de comprometimento, incluindo amostras de malware e domínios e endereços IP associados às variantes mais recentes do Bifrost Linux. Os pesquisadores aconselham que as empresas utilizem produtos de firewall de próxima geração e serviços de segurança específicos para nuvem — incluindo filtragem de URL, aplicativos de prevenção de malware e visibilidade e análise — para proteger ambientes em nuvem.
Em última análise, o processo de infecção permite que o malware contorne as medidas de segurança e evite a detecção e, em última análise, comprometa os sistemas visados, disseram os pesquisadores.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-
- :tem
- :é
- :não
- 100
- 7
- 91
- a
- Capaz
- Acesso
- Segundo
- ativo
- atividade
- endereço
- endereços
- Adotando
- aconselhar
- visar
- aka
- muito parecido
- permite
- tb
- entre
- an
- analítica
- e
- aparece
- aplicações
- ARM
- AS
- associado
- At
- ataque
- Ataques
- em caminho duplo
- BE
- tornam-se
- sido
- Bifrost
- by
- ignorar
- CAN
- alterar
- Na nuvem
- vem
- comum
- Empresa
- compatível
- compromisso
- Comprometido
- comprometendo
- computador
- Preocupações
- Contato
- Contacto
- crucial
- cibercriminosos
- dados,
- destino
- detectou
- Detecção
- Dispositivos/Instrumentos
- didn
- difícil
- distribuir
- distribuição
- dns
- domínio
- NOMES DE DOMÍNIO
- download
- durante
- Elaborar
- criptografar
- criptografia
- garantir
- empresas
- ambientes
- escapar
- Mesmo
- evidência
- evolução
- Expandir
- especialistas
- explicado
- poucos
- filtragem
- descobertas
- firewall
- Escolha
- da
- mais distante
- aperto
- prejudicar
- ajuda
- hospedado
- hospedagem
- HTTPS
- personificar
- in
- incluir
- Incluindo
- indicadores
- indivíduos
- INFORMAÇÕES
- do estado inicial,
- iniciar
- instalado
- em vez disso
- integridade
- Pretendido
- IP
- Endereço IP
- Endereços IP
- IT
- ESTÁ
- conhecido
- mais recente
- legítimo
- como
- probabilidade
- Provável
- linux
- Lista
- fazer
- Fazendo
- malicioso
- malwares
- Posso..
- medidas
- minimizar
- mês
- mais
- nome
- nomes
- redes
- Novo
- recentemente
- próxima geração
- notado
- of
- frequentemente
- on
- uma vez
- or
- organizações
- Fora
- Palo Alto
- particularmente
- passado
- platão
- Inteligência de Dados Platão
- PlatãoData
- Publique
- prática
- preservando
- processo
- Produtos
- fornecendo
- público
- publicado
- pergunta
- radar
- raises
- RAT
- alcançar
- Chega
- recentemente
- permanece
- remoto
- acesso remoto
- pesquisadores
- resolver
- s
- salvaguardando
- Dito
- amostra
- seguro
- segurança
- Medidas de Segurança
- enviar
- sensível
- servidor
- compartilhado
- Sharma
- periodo
- semelhante
- desde
- fonte
- espigão
- mais forte
- subseqüente
- entraram com sucesso
- tal
- superfície
- .
- sistemas
- tática
- Target
- visadas
- tem como alvo
- do que
- que
- A
- A fonte
- deles
- Lá.
- deles
- isto
- Apesar?
- ameaça
- Através da
- para
- Traçar
- Rastreamento
- troiano
- confiável
- tentando
- tipicamente
- Em última análise
- não autorizado
- para
- URL
- usar
- Utilizador
- usos
- utilização
- Variante
- versão
- via
- Vítima
- visibilidade
- vmware
- sites
- BEM
- quando
- qual
- precisarão
- de
- preocupante
- escreveu
- zefirnet
