Pesquisadores de segurança cibernética descobriram uma nova variante Linux de um trojan de acesso remoto (RAT) chamado BIFROSE (também conhecido como Bifrost) que usa um domínio enganoso que imita o VMware.
“Esta versão mais recente do Bifrost visa contornar as medidas de segurança e comprometer os sistemas direcionados”, disseram os pesquisadores da Unidade 42 da Palo Alto Networks, Anmol Maurya e Siddharth Sharma.
BIFROSE é uma das ameaças de longa data que está ativa desde 2004. No passado, foi colocado à venda em fóruns clandestinos por até US$ 10.000, de acordo com um relatório da Trend Micro em dezembro de 2015.
O malware foi colocado em uso por um grupo de hackers da China apoiado pelo Estado, rastreado como BlackTech (também conhecido como Circuit Panda, HUAPI, Manga Taurus, Palmerworm, PLEAD, Red Djinn e Temp.Overboard), que tem um histórico de atacar organizações em Japão, Taiwan e EUA
Suspeita-se que o agente da ameaça comprou o código-fonte ou obteve acesso a ele por volta de 2010 e redirecionou o malware para uso em suas próprias campanhas por meio de backdoors personalizados como KIVARS e XBOW.
Variantes Linux do BIFROSE (também conhecido como ELF_BIFROSE) foram observadas desde pelo menos 2020 com recursos para iniciar shells remotos, fazer download/upload de arquivos e executar operações de arquivo.
“Os invasores normalmente distribuem o Bifrost por meio de anexos de e-mail ou sites maliciosos”, disseram os pesquisadores. “Uma vez instalado no computador da vítima, o Bifrost permite que o invasor colete informações confidenciais, como o nome do host e o endereço IP da vítima.”
O que torna a variante mais recente digna de nota é que ela acessa um servidor de comando e controle (C2) com o nome “download.vmfare[.]com” em uma tentativa de se disfarçar de VMware. O domínio enganoso é resolvido entrando em contato com um resolvedor de DNS público baseado em Taiwan com o endereço IP 168.95.1[.]1. A Unidade 42 disse ter detectado um aumento na atividade do Bifrost desde outubro de 2023, identificando nada menos que 104 artefatos em sua telemetria. Ele descobriu ainda uma versão Arm do malware, sugerindo que os atores da ameaça provavelmente estão procurando expandir sua superfície de ataque.
“Com novas variantes que empregam estratégias de domínio enganosas, como typosquatting, um aumento recente na atividade do Bifrost destaca a natureza perigosa deste malware”, disseram os pesquisadores.
O desenvolvimento ocorre no momento em que o McAfee Labs detalha uma nova campanha do GuLoader que propaga o malware por meio de anexos de arquivos SVG maliciosos em mensagens de e-mail. O malware também foi observado sendo distribuído por meio de scripts VBS como parte de uma entrega de carga útil em vários estágios.
Os ataques Bifrost e GuLoader coincidem com o lançamento de uma nova versão do Warzone RAT, que recentemente teve dois de seus operadores presos e sua infraestrutura desmantelada pelo governo dos EUA.
Fonte: https://thehackernews.com/2024/03/new-bifrose-linux-malware-variant-using.html
Comentários