Una nuova variante Linux del trojan Bifrost imita il dominio VMware per eludere il problema

Recentemente, i ricercatori di Palo Alto Networks hanno scoperto una nuova variante del trojan Linux Bifrost (noto anche come Bifrose) che utilizza una pratica ingannevole nota come Typosquatting per simulare un dominio VMware affidabile. Questo permette al malware di non essere individuato. Bifrost è un virus Trojan per l'accesso remoto attivo dal 2004 che raccoglie informazioni sensibili come il nome dell'host e l'indirizzo IP da un sistema infetto.

Negli ultimi mesi sono stati rilevati più di 100 campioni di Bifrost, destando preoccupazione tra gli esperti di sicurezza e le organizzazioni. Inoltre, è stato dimostrato che i cybercriminali intendono espandere ulteriormente la superficie di attacco di Bifrost utilizzando un indirizzo IP dannoso associato alla variante di Linux che ospita la versione ARM di Bifrost.

I criminali informatici distribuiscono tipicamente Bifrost tramite allegati di posta elettronica o siti web dannosi. Una volta installato sul computer della vittima, Bifrost accede a un dominio di gestione e controllo con un nome ingannevole che sembra simile a un dominio VMware legittimo. Il malware raccoglie i dati dell'utente da inviare a questo server, utilizzando la crittografia RC4 per cifrare i dati.

In definitiva, il processo di infezione consente al malware di aggirare le misure di sicurezza, evitare il rilevamento e infine compromettere i sistemi target, dicono i ricercatori.

Fonte: Palo Alto Networks