Une nouvelle variante Linux du cheval de Troie Bifrost imite le domaine VMware pour échapper à la fraude

Récemment, des chercheurs de Palo Alto Networks ont découvert une nouvelle variante du cheval de Troie Linux Bifrost (également connu sous le nom de Bifrose) qui utilise une pratique trompeuse connue sous le nom de Typosquatting pour imiter un domaine VMware de confiance. Cela permet au logiciel malveillant de ne pas être détecté. Bifrost est un cheval de Troie d'accès à distance actif depuis 2004 qui collecte des informations sensibles telles que le nom d'hôte et l'adresse IP d'un système infecté.

Plus de 100 échantillons de Bifrost ont été détectés au cours des derniers mois, ce qui a suscité l'inquiétude des experts en sécurité et des organisations. De plus, il semble que les cyberattaquants prévoient d'étendre encore davantage la surface d'attaque de Bifrost en utilisant une adresse IP malveillante associée à la variante de Linux qui héberge la version ARM de Bifrost.

Les cybercriminels distribuent généralement Bifrost par le biais de pièces jointes à des courriels ou de sites web malveillants. Une fois installé sur l'ordinateur de la victime, Bifrost accède à un domaine de gestion et de contrôle avec un nom trompeur qui ressemble à un domaine VMware légitime. Le logiciel malveillant collecte les données de l'utilisateur pour les renvoyer à ce serveur, en utilisant le chiffrement RC4 pour crypter les données.

En fin de compte, le processus d'infection permet au logiciel malveillant de contourner les mesures de sécurité, d'éviter la détection et finalement de compromettre les systèmes cibles, selon les chercheurs.

Source : Palo Alto Networks : Palo Alto Networks