Bifrost, la nuova variante del RAT Linux usa il typosquatting per eludere il rilevamento

Lo scenario delle minacce cyber presenta una nuova variante di un RAT (Remote Access Trojan) noto come Bifrost rappresentando una crescente preoccupazione per la sicurezza degli ambienti Linux.

Bifrost

I ricercatori dell’Unit 42 di Palo Alto Networks riferiscono di aver osservato nel periodo ottobre 2023-gennaio 2024 un picco nell’attività di tale malware e l’analisi degli ultimi campioni ha portato a scoprire diversi aggiornamenti che ne migliorano le funzionalità e le tecniche di evasione sofisticate.

Fonte Unit 42

Il malware crea innanzitutto un socket per stabilire la comunicazione, quindi raccoglie i dati dell’utente, li cifra con crittografia RC4 e li invia al server dell’attaccante. Utilizzando come server C2 un dominio ingannevole che impersona quello legittimo di VMware, questa variante mira a eludere il rilevamento durante le ispezioni.

Questa è una pratica è nota come typosquatting. Sfruttando questo dominio ingannevole, gli autori delle minacce dietro Bifrost mirano a bypassare le misure di sicurezza, eludere il rilevamento e, infine, compromettere i sistemi presi di mira.”, spiega il rapporto.

Inoltre il dominio fittizio “download.vmfare[.]com”, viene anche risolto (IP C2: 45.91.82[.]127) tramite un resolver DNS pubblico taiwanese (IP DNS: 168.95.1[.]1), aumentando la difficoltà di tracciamento e blocco.

Fonte Unit 42

Una minaccia più furtiva e pericolosa

Questa nuova tattica di evasione, insieme alla raccolta di informazioni sensibili dall’host infetto, sottolinea l’evoluzione di Bifrost verso una minaccia più furtiva e pericolosa. Inoltre anche la contemporanea scoperta di una versione ARM del RAT, che ha le stesse funzionalità dei campioni x86 analizzati, dimostra che gli attaccanti intendono ampliare la loro superficie di attacco.

Per il momento solo il 50% dei sistemi antivirus rileva la minaccia.

Fonte VirusTotal

Su Salvatore Lombardo 258 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.