Bifrost despliega una innovadora técnica con un dominio engañoso para evadir la detección. La última variante de Bifrost utiliza el dominio download.vmfare[.]com, imitando al legítimo dominio de VMware, para eludir medidas de seguridad y comprometer sistemas específicos.

Introducción a Bifrost y su técnica innovadora:

• Bifrost, un troyano de acceso remoto identificado en 2004.
• Utiliza el dominio engañoso download.vmfare[.]com para evadir la detección.

En una reciente investigación, se descubrió una nueva variante de Bifrost para Linux que presenta una técnica nueva para evadir la detección. Identificado por primera vez en 2004, Bifrost es un troyano de acceso remoto (RAT) que permite a los atacantes recopilar información sensible, como el nombre de host y la dirección IP.

Utiliza el dominio download.vmfare[.]com el cual simula el verdadero dominio de VMware. Esta última versión de Bifrost tiene como objetivo eludir medidas de seguridad y comprometer sistemas específicos se detecta un aumento significativo en las variantes de Bifrost para Linux en los últimos meses, generando preocupaciones entre expertos en seguridad y organizaciones.

Funcionamiento y amenazas de Bifrost:

• Distribución a través de correos electrónicos y sitios web maliciosos.
• Compromiso de sistemas y recopilación de información sensible.

Los atacantes suelen distribuir Bifrost a través de archivos adjuntos de correos electrónicos o sitios web maliciosos. Una vez instalado en el equipo de la víctima, Bifrost permite al atacante recopilar información sensible, como el nombre de host y la dirección IP de la víctima.

Detección y estadísticas de actividad:

• Más de 100 instancias de Bifrost detectadas en los últimos meses.

Los investigadores de Unit 42 de Palo Alto Networks informaron de haber observado recientemente un aumento en la actividad con más de 100 instancias de Bifrost detectadas en los últimos meses.

Detalles técnicos de la última variante de Bifrost:

• Uso de RC4 encryption para proteger datos del usuario.
• Contacto con un servidor DNS en Taiwán para asegurar la conexión.

En febrero, el dominio engañoso no había sido detectado en VirusTotal. Encontramos la última muestra de Bifrost alojada en un servidor. Este malware utiliza cifrado RC4 para proteger los datos recopilados de las víctimas.

Expansión de la superficie de ataque:

• Identificación de una versión ARM de Bifrost en una IP maliciosa.
• Estrategia para ampliar el alcance del ataque a dispositivos ARM.

La última versión de Bifrost se comunica con un dominio de comando y control (C2) con el nombre engañoso, download.vmfare[.]com, que se asemeja a un dominio legítimo de VMware. Esta práctica de typosquatting permite a los actores de amenazas eludir medidas de seguridad y comprometer sistemas específicos.

Además, el malware intenta contactar un resolver de DNS público en Taiwán con la dirección IP 168.95.1[.]1. La IP maliciosa 45.91.82[.]127 también aloja una versión ARM de Bifrost, lo que indica que los atacantes intentan ampliar su superficie de ataque.

Conclusión y medidas de seguridad:

• Bifrost sigue siendo una amenaza significativa.
• La importancia de rastrear y contrarrestar malware para proteger datos y sistemas.

En conclusión, Bifrost RAT sigue siendo una amenaza significativa y en evolución. La detección y contramedidas son cruciales para salvaguardar datos sensibles y preservar la integridad de los sistemas informáticos.

Más información:

https://unit42.paloaltonetworks.com/new-linux-variant-bifrost-malware/

https://www.bleepingcomputer.com/news/security/new-bifrost-malware-for-linux-mimics-vmware-domain-for-evasion/