Ciberseguridad 360 | Malware Bifrost Linux imita dominio VMware para evadir seguridad

Una nueva variante para Linux del troyano de acceso remoto (RAT) Bifrost emplea varias t�cnicas de evasi�n novedosas, incluido el uso de un dominio enga�oso que se hizo pasar por parte de VMware.

Identificado por primera vez hace veinte a�os, Bifrost es una de las amenazas RAT m�s antiguas en circulaci�n. Infecta a los usuarios a trav�s de adjuntos de correo electr�nico maliciosos o sitios de descarga de carga �til y, a continuaci�n, recopila informaci�n confidencial del host.

Los investigadores de Unit 42 de Palo Alto Networks afirman haber observado un repunte en la actividad de Bitfrost recientemente, lo que les llev� a realizar una investigaci�n que desvel� una nueva variante m�s sigilosa.

104 nuevas muestras de Bitfrost capturadas desde octubre (Unit 42)

Nuevas t�cticas de Bitfrost

El an�lisis de las �ltimas muestras de Bitfrost realizado por los investigadores de Unit 42 ha descubierto varias actualizaciones interesantes que mejoran las capacidades operativas y de evasi�n del malware.

En primer lugar, el servidor de mando y control (C2) al que se conecta el malware utiliza el dominio "download.vmfare[.]com", que parece similar a un dominio leg�timo de VMware, lo que permite pasarlo por alto f�cilmente durante una inspecci�n.

El dominio enga�oso se resuelve contactando con un resolver DNS p�blico con sede en Taiw�n, lo que dificulta el rastreo y el bloqueo.

Consulta DNS para resolver la direcci�n C2 (Unit 42)

En el aspecto t�cnico del malware, el binario se compila en forma despojada, sin informaci�n de depuraci�n ni tablas de s�mbolos, lo que dificulta su an�lisis.

Bitfrost recopila el nombre de host, la direcci�n IP y los identificadores de proceso de la v�ctima, utiliza cifrado RC4 para protegerlos antes de la transmisi�n y, a continuaci�n, los filtra al C2 a trav�s de un socket TCP reci�n creado.

Recogida de datos sobre las v�ctimas (Unit 42)

Otro nuevo hallazgo destacado en el informe de Unit 42 es una versi�n ARM de Bitfrost, que tiene la misma funcionalidad que las muestras x86 analizadas en el informe.

La aparici�n de estas versiones muestra que los atacantes pretenden ampliar su objetivo a las arquitecturas basadas en ARM, cada vez m�s comunes en diversos entornos.

Aunque Bitfrost no sea una amenaza muy sofisticada ni uno de los programas maliciosos m�s distribuidos, los descubrimientos del equipo de Unit 42 exigen una mayor vigilancia.

Est� claro que los desarrolladores de la RAT pretenden perfeccionarla para convertirla en una amenaza m�s encubierta capaz de atacar una gama m�s amplia de arquitecturas de sistemas.

Fuente: bleepingcomputer