Una nueva variante Linux del troyano Bifrost imita el dominio VMware para evadirlo

Recientemente, investigadores de Palo Alto Networks descubrieron una nueva variante del troyano para Linux Bifrost (también conocido como Bifrose) que utiliza una práctica engañosa conocida como Typosquatting para imitar un dominio VMware de confianza. Esto permite que el malware pase desapercibido. Bifrost es un virus troyano de acceso remoto activo desde 2004 que recopila información confidencial como el nombre de host y la dirección IP de un sistema infectado.

En los últimos meses se han detectado más de 100 muestras de Bifrost, lo que ha suscitado preocupación entre los expertos en seguridad y las organizaciones. Además, hay indicios de que los ciberatacantes planean ampliar aún más la superficie de ataque de Bifrost utilizando una dirección IP maliciosa asociada a la variante de Linux que aloja la versión ARM de Bifrost.

Los ciberdelincuentes suelen distribuir Bifrost a través de adjuntos de correo electrónico o sitios web maliciosos. Una vez instalado en el ordenador de la víctima, Bifrost accede a un dominio de gestión y control con un nombre engañoso que parece similar a un dominio VMware legítimo. El malware recopila datos del usuario para enviarlos a este servidor, utilizando cifrado RC4 para encriptar los datos.

En última instancia, el proceso de infección permite al malware eludir las medidas de seguridad, evitar la detección y, en última instancia, comprometer los sistemas de destino, dicen los investigadores.

Fuente: Palo Alto Networks