Новый вариант трояна Bifrost для Linux имитирует домен VMware для уклонения

Автор: Влад Черевко, 10 марта 2024, 17:35

Недавно исследователи из Palo Alto Networks обнаружили новый вариант Linux-трояна Bifrost (также известного как Bifrose), который использует обманчивую практику, известную как Typosquatting, для имитации доверенного домена VMware. Это позволяет вредоносному ПО оставаться незамеченным. Bifrost - это вирус-троян для удаленного доступа, активный с 2004 года, который собирает чувствительную информацию, такую как имя хоста и IP-адрес с зараженной системы.

За последние несколько месяцев было обнаружено более 100 образцов Bifrost, что вызывает опасения среди экспертов по безопасности и организаций. Более того, есть свидетельства того, что кибератакующие планируют расширить поверхность атаки Bifrost еще больше, используя вредоносный IP-адрес, связанный с Linux-вариантом, на котором размещена версия Bifrost для ARM.

Киберпреступники обычно распространяют Bifrost через вложения электронной почты или вредоносные веб-сайты. После установки на компьютер жертвы, Bifrost обращается к домену управления и контроля с обманчивым именем, который выглядит похожим на легитимный домен VMware. Вредоносное ПО собирает пользовательские данные для отправки обратно на этот сервер, используя шифрование RC4 для шифрования данных.

В конечном итоге процесс заражения позволяет вредоносному ПО обойти меры безопасности, избежать обнаружения и в итоге скомпрометировать целевые системы, говорят исследователи.

Источник: Palo Alto Networks