Новий варіант трояна Bifrost для Linux імітує домен VMware для ухилення

Нещодавно дослідники з Palo Alto Networks виявили новий варіант Linux-трояна Bifrost (також відомого як Bifrose), який використовує оманливу практику, відому як Typosquatting, для імітації довіреного домену VMware. Це дає змогу шкідливому ПЗ залишатися непоміченим. Bifrost - це вірус-троян для віддаленого доступу, активний з 2004 року, який збирає чутливу інформацію, таку як ім'я хоста та IP-адресу із зараженої системи.

За останні кілька місяців було виявлено понад 100 зразків Bifrost, що викликає побоювання серед експертів з безпеки та організацій. Ба більше, є свідчення того, що кібератакуючі планують розширити поверхню атаки Bifrost ще більше, використовуючи шкідливу IP-адресу, пов'язану з Linux-варіантом, на якому розміщена версія Bifrost для ARM.

Кіберзлочинці зазвичай поширюють Bifrost через вкладення електронної пошти або шкідливі веб-сайти. Після встановлення на комп'ютер жертви, Bifrost звертається до домену управління і контролю з оманливим ім'ям, який має схожий вигляд на легітимний домен VMware. Шкідливе ПЗ збирає користувацькі дані для відправки назад на цей сервер, використовуючи шифрування RC4 для шифрування даних.

Зрештою процес зараження дає змогу шкідливому ПЗ обійти заходи безпеки, уникнути виявлення і в підсумку скомпрометувати цільові системи, кажуть дослідники.

Джерело: Palo Alto Networks