Lo scenario delle minacce cyber presenta una nuova variante di un RAT (Remote Access Trojan) noto come Bifrost rappresentando una crescente preoccupazione per la sicurezza degli ambienti Linux.
Bifrost
I ricercatori dell’Unit 42 di Palo Alto Networks riferiscono di aver osservato nel periodo ottobre 2023-gennaio 2024 un picco nell’attività di tale malware e l’analisi degli ultimi campioni ha portato a scoprire diversi aggiornamenti che ne migliorano le funzionalità e le tecniche di evasione sofisticate.
Il malware crea innanzitutto un socket per stabilire la comunicazione, quindi raccoglie i dati dell’utente, li cifra con crittografia RC4 e li invia al server dell’attaccante. Utilizzando come server C2 un dominio ingannevole che impersona quello legittimo di VMware, questa variante mira a eludere il rilevamento durante le ispezioni.
“Questa è una pratica è nota come typosquatting. Sfruttando questo dominio ingannevole, gli autori delle minacce dietro Bifrost mirano a bypassare le misure di sicurezza, eludere il rilevamento e, infine, compromettere i sistemi presi di mira.”, spiega il rapporto.
Inoltre il dominio fittizio “download.vmfare[.]com”, viene anche risolto (IP C2: 45.91.82[.]127) tramite un resolver DNS pubblico taiwanese (IP DNS: 168.95.1[.]1), aumentando la difficoltà di tracciamento e blocco.
Una minaccia più furtiva e pericolosa
Questa nuova tattica di evasione, insieme alla raccolta di informazioni sensibili dall’host infetto, sottolinea l’evoluzione di Bifrost verso una minaccia più furtiva e pericolosa. Inoltre anche la contemporanea scoperta di una versione ARM del RAT, che ha le stesse funzionalità dei campioni x86 analizzati, dimostra che gli attaccanti intendono ampliare la loro superficie di attacco.
Per il momento solo il 50% dei sistemi antivirus rileva la minaccia.
Fonte VirusTotal
