Ricercatori di Palo Alto Networks’ Unità 42 hanno scoperto una nuova variante dell'accesso remoto Bifrost di lunga data trojan (RAT) mirato specificamente ai sistemi Linux. Quest’ultima iterazione di Bifrost introduce diverse tecniche di evasione innovative, ponendo una sfida significativa agli sforzi di rilevamento e mitigazione.
Panoramica sul malware Bifrost
Rilevato per la prima volta due decenni fa, Bifrost ha mantenuto la sua presenza come una minaccia persistente, infiltrarsi nei sistemi tramite allegati e-mail dannosi o siti che rilasciano payload. Una volta installato, Bifrost raccoglie furtivamente informazioni sensibili dall'host infetto, presentando un rischio formidabile sia per le organizzazioni che per gli individui.
Osservazioni recenti dell'Unità 42 i ricercatori hanno rivelato un aumento dell'attività di Bifrost, richiedendo un'indagine dettagliata sulle ultime tattiche del malware. Tra le scoperte più importanti c'è l'utilizzo di un dominio ingannevole, “download.vmfare[.]con,” abilmente realizzato per assomigliare a un dominio VMware legittimo.
Questa tattica mira a eludere il rilevamento fondendosi con il rumore di fondo del traffico di rete legittimo, rendendo più difficile per i professionisti della sicurezza identificare e bloccare le comunicazioni dannose.
Inoltre, il RAT utilizza binari spogliati privi di informazioni di debug o tabelle di simboli, complicando gli sforzi di analisi e migliorando le sue capacità invisibili. Bifrost utilizza inoltre la crittografia RC4 per proteggere i dati delle vittime raccolti prima di trasmetterli ai propri comando e controllo (C2) server tramite un socket TCP appena creato, offuscando ulteriormente le sue attività dannose.
Unità 42 i ricercatori hanno anche scoperto una versione ARM del malware, indicando uno spostamento strategico da parte degli autori delle minacce verso le architetture basate su ARM. Poiché i sistemi basati su ARM diventano sempre più diffusi in vari ambienti, questa espansione dell’ambito di mira sottolinea l’adattabilità e la persistenza degli autori delle minacce dietro Bifrost.
Mentre Bifrost potrebbe non essere classificato come una minaccia altamente sofisticata, le recenti scoperte dell'Unità 42 evidenziare gli sforzi continui da parte dei suoi sviluppatori per migliorarne la furtività e la versatilità.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: