Ny Linux-variant av Bifrost-trojaneren etterligner VMware-domenet for å unngå å bli brukt.

Forskere ved Palo Alto Networks har nylig oppdaget en ny variant av Linux-trojaneren Bifrost (også kjent som Bifrose) som bruker en villedende praksis kjent som Typosquatting for å etterligne et betrodd VMware-domene. Dette gjør det mulig for skadevaren å forbli uoppdaget. Bifrost er en fjerntilgangstrojaner som har vært aktiv siden 2004, og som samler inn sensitiv informasjon som vertsnavn og IP-adresse fra et infisert system.

Mer enn 100 eksemplarer av Bifrost har blitt oppdaget de siste månedene, noe som har skapt bekymring blant sikkerhetseksperter og organisasjoner. Mye tyder dessuten på at cyberkriminelle planlegger å utvide angrepsflaten for Bifrost ytterligere ved å bruke en ondsinnet IP-adresse knyttet til Linux-varianten som er vert for ARM-versjonen av Bifrost.

Cyberkriminelle distribuerer vanligvis Bifrost via e-postvedlegg eller ondsinnede nettsteder. Når Bifrost er installert på offerets datamaskin, får den tilgang til et administrasjons- og kontrolldomene med et villedende navn som ligner på et legitimt VMware-domene. Skadevaren samler inn brukerdata som sendes tilbake til denne serveren, og bruker RC4-kryptering for å kryptere dataene.

Til syvende og sist gjør infeksjonsprosessen det mulig for skadevaren å omgå sikkerhetstiltak, unngå å bli oppdaget og til slutt kompromittere målsystemene, sier forskerne.

Kilde: Palo Alto Networks Palo Alto Networks