Nieuwe Linux-variant van Bifrost-trojan bootst VMware-domein na voor ontwijking

Onlangs ontdekten onderzoekers van Palo Alto Networks een nieuwe variant van de Linux Trojan Bifrost (ook bekend als Bifrose) die gebruik maakt van een misleidende praktijk die bekend staat als Typosquatting om een vertrouwd VMware-domein na te bootsen. Hierdoor kan de malware onopgemerkt blijven. Bifrost is een Trojaans virus voor externe toegang dat sinds 2004 actief is en gevoelige informatie zoals hostnaam en IP-adres van een geïnfecteerd systeem verzamelt.

In de afgelopen maanden zijn er meer dan 100 exemplaren van Bifrost ontdekt, waardoor beveiligingsexperts en organisaties zich zorgen maken. Bovendien zijn er aanwijzingen dat cyberaanvallers van plan zijn om het aanvalsoppervlak van Bifrost nog verder uit te breiden door een kwaadaardig IP-adres te gebruiken dat is gekoppeld aan de Linux-variant die de ARM-versie van Bifrost host.

Cybercriminelen verspreiden Bifrost meestal via e-mailbijlagen of kwaadaardige websites. Zodra Bifrost op de computer van het slachtoffer is geïnstalleerd, krijgt het toegang tot een beheer- en besturingsdomein met een misleidende naam die lijkt op een legitiem VMware-domein. De malware verzamelt gebruikersgegevens om terug te sturen naar deze server en gebruikt RC4-encryptie om de gegevens te versleutelen.

Uiteindelijk stelt het infectieproces de malware in staat om beveiligingsmaatregelen te omzeilen, detectie te vermijden en uiteindelijk doelsystemen te compromitteren, aldus onderzoekers.

Bron: Palo Alto Networks