Neue Linux-Variante des Bifrost-Trojaners imitiert VMware-Domäne zur Umgehung
Kürzlich entdeckten Forscher von Palo Alto Networks eine neue Variante des Linux-Trojaners Bifrost (auch bekannt als Bifrose), die eine betrügerische Praxis namens Typosquatting verwendet, um eine vertrauenswürdige VMware-Domäne zu imitieren. Dadurch kann die Malware unerkannt bleiben. Bifrost ist ein Trojaner für den Fernzugriff, der seit 2004 aktiv ist und sensible Informationen wie Hostname und IP-Adresse von einem infizierten System sammelt.
In den letzten Monaten wurden mehr als 100 Bifrost-Samples entdeckt, was bei Sicherheitsexperten und Organisationen Besorgnis erregt. Darüber hinaus gibt es Hinweise darauf, dass Cyber-Angreifer planen, die Angriffsfläche für Bifrost noch weiter zu vergrößern, indem sie eine bösartige IP-Adresse verwenden, die mit der Linux-Variante verbunden ist, die die ARM-Version von Bifrost hostet.
Cyberkriminelle verbreiten Bifrost in der Regel über E-Mail-Anhänge oder bösartige Websites. Nach der Installation auf dem Computer des Opfers greift Bifrost auf eine Verwaltungs- und Kontrolldomäne mit einem irreführenden Namen zu, der einer legitimen VMware-Domäne ähnlich sieht. Die Malware sammelt Benutzerdaten, die sie an diesen Server zurücksendet, wobei sie die Daten mit RC4-Verschlüsselung verschlüsselt.
Letztendlich ermöglicht der Infektionsprozess der Malware, Sicherheitsmaßnahmen zu umgehen, sich der Entdeckung zu entziehen und schließlich die Zielsysteme zu kompromittieren, so die Forscher.
Quelle: Palo Alto Networks