Pesquisadores da Palo Alto Networks’ Unidade 42 descobriram uma nova variante do antigo acesso remoto Bifrost troiano (RATO) visando especificamente sistemas Linux. Esta última iteração do Bifrost apresenta várias técnicas de evasão inovadoras, representando um desafio significativo para os esforços de detecção e mitigação.
Visão geral do malware Bifrost
Detectado pela primeira vez há duas décadas, Bifrost manteve sua presença como uma ameaça persistente, infiltração de sistemas por meio de anexos de e-mail maliciosos ou sites que descartam carga útil. Uma vez instalado, Bifrost coleta furtivamente informações confidenciais do host infectado, apresentando um risco formidável para organizações e indivíduos.
Observações recentes por unidade 42 pesquisadores revelaram um aumento na atividade do Bifrost, solicitando uma investigação detalhada sobre as táticas mais recentes do malware. Entre as principais descobertas está a utilização de um domínio enganoso, “baixar.vmfare[.]com,” habilmente elaborado para se assemelhar a um domínio VMware legítimo.
Essa tática visa evitar a detecção, misturando-se ao ruído de fundo do tráfego de rede legítimo, tornando mais difícil para os profissionais de segurança identificar e bloquear comunicações maliciosas.
Além disso, o RAT emprega binários despojados, desprovidos de informações de depuração ou tabelas de símbolos, complicando os esforços de análise e melhorando suas capacidades furtivas. A Bifrost também emprega criptografia RC4 para proteger os dados coletados das vítimas antes de transmiti-los aos seus comando e controle (C2) servidor através de um soquete TCP recém-criado, ofuscando ainda mais suas atividades maliciosas.
Unidade 42 pesquisadores também descobriram uma versão ARM do malware, indicando uma mudança estratégica por parte dos atores de ameaças no sentido de atingir arquiteturas baseadas em ARM. À medida que os sistemas baseados em ARM se tornam cada vez mais predominantes em vários ambientes, esta expansão do escopo de segmentação ressalta a adaptabilidade e persistência dos atores de ameaças por trás do Bifrost.
Embora o Bifrost não possa ser classificado como uma ameaça altamente sofisticada, as recentes descobertas da Unidade 42 destacar os esforços contínuos de seus desenvolvedores para melhorar sua furtividade e versatilidade.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: