A 20-year-old Trojan resurfaced recently with new variants that target Linux and impersonate a trusted hosted domain to evade detection.
Researchers from Palo Alto Networks spotted a new Linux variant of the Bifrost (aka Bifrose) malware that uses a deceptive practice known as typosquatting to mimic a legitimate VMware domain, which allows the malware to fly under the radar. Bifrost is a remote access Trojan (RAT) that’s been active since 2004 and gathers sensitive information, such as hostname and IP address, from a compromised system.
There has been a worrying spike in Bifrost Linux variants during the past few months: Palo Alto Networks has detected more than 100 instances of Bifrost samples, which “raises concerns among security experts and organizations,” researchers Anmol Murya and Siddharth Sharma wrote in the company’s newly published findings.
Moreover, there is evidence that cyberattackers aim to expand Bifrost’s attack surface even further, using a malicious IP address associated with a Linux variant hosting an ARM version of Bifrost as well, they said.
“By providing an ARM version of the malware, attackers can expand their grasp, compromising devices that may not be compatible with x86-based malware,” the researchers explained. “As ARM-based devices become more common, cybercriminals will likely change their tactics to include ARM-based malware, making their attacks stronger and able to reach more targets.”
Distribution and Infection
Attackers typically distribute Bifrost through email attachments or malicious websites, the researchers noted, though they didn’t elaborate on the initial attack vector for the newly surfaced Linux variants.
Palo Alto researchers observed a sample of Bifrost hosted on a server at the domain 45.91.82[.]127. Once installed on a victim’s computer, Bifrost reaches out to a command-and-control (C2) domain with a deceptive name, download.vmfare[.]com, which appears similar to a legitimate VMware domain. The malware collects user data to send back to this server, using RC4 encryption to encrypt the data.
“The malware often adopts such deceptive domain names as C2 instead of IP addresses to evade detection and make it more difficult for researchers to trace the source of the malicious activity,” the researchers wrote.
They also observed the malware trying to contact a Taiwan-based public DNS resolver with the IP address 168.95.1[.]1. The malware uses the resolver to initiate a DNS query to resolve the domain download.vmfare[.]com, a process that’s crucial to ensure that Bifrost can successfully connect to its intended destination, according to the researchers.
Safeguarding Sensitive Data
Though it may be an old-timer when it comes to malware, the Bifrost RAT remains a significant and evolving threat to individuals and organizations alike, particularly with new variants adopting typosquatting to evade detection, the researchers said.
“Tracking and counteracting malware like Bifrost is crucial to safeguarding sensitive data and preserving the integrity of computer systems,” they wrote. “This also helps minimize the likelihood of unauthorized access and subsequent harm.”
In their post, the researchers shared a list of indicators of compromise, including malware samples and domain and IP addresses associated with the latest Bifrost Linux variants. The researchers advise that enterprises use next-generation firewall products and cloud-specific security services — including URL filtering, malware-prevention applications, and visibility and analytics — to secure cloud environments.
Ultimately, the process of infection allows the malware to bypass security measures and evade detection, and ultimately compromise targeted systems, the researchers said.
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-
- : ہے
- : ہے
- : نہیں
- 100
- 7
- 91
- a
- قابلیت
- تک رسائی حاصل
- کے مطابق
- فعال
- سرگرمی
- پتہ
- پتے
- اپنانے
- مشورہ
- مقصد
- ارف
- اسی طرح
- کی اجازت دیتا ہے
- بھی
- کے درمیان
- an
- تجزیاتی
- اور
- ظاہر ہوتا ہے
- ایپلی کیشنز
- بازو
- AS
- منسلک
- At
- حملہ
- حملے
- واپس
- BE
- بن
- رہا
- Bifrost
- by
- بائی پاس
- کر سکتے ہیں
- تبدیل
- بادل
- آتا ہے
- کامن
- کمپنی کے
- ہم آہنگ
- سمجھوتہ
- سمجھوتہ کیا
- سمجھوتہ
- کمپیوٹر
- اندراج
- رابطہ قائم کریں
- رابطہ کریں
- اہم
- cybercriminals
- اعداد و شمار
- منزل
- پتہ چلا
- کھوج
- کے الات
- نہیں کیا
- مشکل
- تقسیم کرو
- تقسیم
- DNS
- ڈومین
- DOMAIN NAMES
- ڈاؤن لوڈ، اتارنا
- کے دوران
- تفصیل
- ای میل
- خفیہ
- خفیہ کاری
- کو یقینی بنانے کے
- اداروں
- ماحول
- فرار
- بھی
- ثبوت
- تیار ہوتا ہے
- توسیع
- ماہرین
- وضاحت کی
- چند
- فلٹرنگ
- نتائج
- فائروال
- کے لئے
- سے
- مزید
- سمجھو
- نقصان پہنچانے
- مدد کرتا ہے
- میزبانی کی
- ہوسٹنگ
- HTTPS
- انفرادی
- in
- شامل
- سمیت
- انڈیکیٹر
- افراد
- معلومات
- ابتدائی
- شروع
- نصب
- کے بجائے
- سالمیت
- ارادہ
- IP
- IP ایڈریس
- آئی پی پتے
- IT
- میں
- جانا جاتا ہے
- تازہ ترین
- جائز
- کی طرح
- امکان
- امکان
- لینکس
- لسٹ
- بنا
- بنانا
- بدقسمتی سے
- میلویئر
- مئی..
- اقدامات
- کم سے کم
- ماہ
- زیادہ
- نام
- نام
- نیٹ ورک
- نئی
- نیا
- اگلی نسل
- کا کہنا
- of
- اکثر
- on
- ایک بار
- or
- تنظیمیں
- باہر
- پالو آلٹو
- خاص طور پر
- گزشتہ
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پوسٹ
- پریکٹس
- محفوظ کر رہا ہے
- عمل
- حاصل
- فراہم کرنے
- عوامی
- شائع
- استفسار میں
- ریڈار
- اٹھاتا ہے
- چوہا
- تک پہنچنے
- پہنچتا ہے
- حال ہی میں
- باقی
- ریموٹ
- دور دراز تک رسائی
- محققین
- حل
- s
- حفاظت کرنا
- کہا
- نمونہ
- محفوظ بنانے
- سیکورٹی
- حفاظتی اقدامات
- بھیجنے
- حساس
- سرور
- مشترکہ
- شرما
- اہم
- اسی طرح
- بعد
- ماخذ
- بڑھتی ہوئی وارداتوں
- مضبوط
- بعد میں
- کامیابی کے ساتھ
- اس طرح
- سطح
- کے نظام
- سسٹمز
- حکمت عملی
- ہدف
- ھدف بنائے گئے
- اہداف
- سے
- کہ
- ۔
- ماخذ
- ان
- وہاں.
- وہ
- اس
- اگرچہ؟
- خطرہ
- کے ذریعے
- کرنے کے لئے
- ٹریس
- ٹریکنگ
- ٹروجن
- قابل اعتماد
- کی کوشش کر رہے
- عام طور پر
- آخر میں
- غیر مجاز
- کے تحت
- URL
- استعمال کی شرائط
- رکن کا
- استعمال
- کا استعمال کرتے ہوئے
- مختلف
- ورژن
- کی طرف سے
- وکٹم
- کی نمائش
- vmware
- ویب سائٹ
- اچھا ہے
- جب
- جس
- گے
- ساتھ
- فکر مند
- لکھا ہے
- زیفیرنیٹ