Un nou variant Linux al troianului de acces la distanță Bifrost (RAT) folosește mai multe tehnici de evitare inovatoare, inclusiv folosirea unui domeniu deceptiv care a fost creat pentru a părea parte din VMware.
Identificat pentru prima dată acum douăzeci de ani, Bifrost este una dintre cele mai vechi amenințări RAT aflate în circulație. Infectează utilizatorii prin atașamente de e-mail malitioase sau site-uri care descarcă payload-uri și apoi colectează informații sensibile de pe gazdă.
Cercetătorii Unit 42 de la Palo Alto Networks raportează observarea unei creșteri a activității Bitfrost recent, ceea ce i-a determinat să efectueze o investigație care a dezvăluit o nouă variantă mai stealth.
Analiza celor mai recente mostre de Bitfrost de către cercetătorii Unit 42 a scos la iveală mai multe actualizări interesante care îmbunătățesc capacitățile operaționale și de evitare ale malware-ului.
În primul rând, serverul de comandă și control (C2) la care se conectează malware-ul folosește domeniul „download.vmfare[.]com”, care pare similar cu un domeniu VMware legitim, permițându-i să fie ușor trecut cu vederea în timpul inspecției.
Domeniul deceptiv este rezolvat prin contactarea unui resolver DNS public din Taiwan, ceea ce face mai dificilă urmărirea și blocarea acestuia.
Pe partea tehnică a malware-ului, binarul este compilat în formă strippată fără nicio informație de depanare sau tabele de simboluri, făcând analiza mai dificilă.
Bitfrost colectează numele gazdei, adresa IP și ID-urile procesului victimei, apoi folosește criptarea RC4 pentru a o securiza înainte de transmitere și apoi o exfiltează către C2 printr-un socket TCP nou creat.
Un alt aspect nou evidențiat în raportul Unit 42 este o versiune ARM a Bitfrost, care are aceeași funcționalitate ca mostrele x86 analizate în prezentare.
Emergența acestor build-uri arată că atacatorii intenționează să-și extindă sfera de acțiune către arhitecturi bazate pe ARM care devin tot mai comune în diverse medii.
Deși Bitfrost nu poate fi considerat o amenințare extrem de sofisticată sau unul dintre cele mai larg distribuite piese de malware, descoperirile făcute de echipa Unit 42 cer o vigilență sporită.
Dezvoltatorii din spatele RAT-ului vizează clar să-l refineze într-o amenințare mai subtilă capabilă să vizeze o gamă mai largă de arhitecturi de sistem.
Leave a Reply