Ny Linux-variant av Bifrost-trojanen imiterar VMware-domän för att undvika

Nyligen upptäckte forskare vid Palo Alto Networks en ny variant av Linux-trojanen Bifrost (även känd som Bifrose) som använder en bedräglig metod som kallas Typosquatting för att efterlikna en betrodd VMware-domän. På så sätt kan den skadliga koden förbli oupptäckt. Bifrost är ett trojanskt fjärråtkomstvirus som varit aktivt sedan 2004 och som samlar in känslig information som värdnamn och IP-adress från ett infekterat system.

Mer än 100 prover av Bifrost har upptäckts under de senaste månaderna, vilket har väckt oro bland säkerhetsexperter och organisationer. Det finns dessutom bevis för att cyberangripare planerar att utöka angreppsytan för Bifrost ytterligare genom att använda en skadlig IP-adress som är kopplad till den Linux-variant som är värd för ARM-versionen av Bifrost.

Cyberbrottslingar distribuerar vanligtvis Bifrost via e-postbilagor eller skadliga webbplatser. När Bifrost har installerats på offrets dator får den åtkomst till en hanterings- och kontrolldomän med ett bedrägligt namn som ser ut som en legitim VMware-domän. Den skadliga programvaran samlar in användardata som skickas tillbaka till denna server med hjälp av RC4-kryptering för att kryptera data.

I slutändan gör infektionsprocessen det möjligt för den skadliga programvaran att kringgå säkerhetsåtgärder, undvika upptäckt och i slutändan kompromettera målsystem, säger forskare.

Källa: Palo Alto Networks: Palo Alto Networks