Ny Linux-variant af Bifrost-trojaneren efterligner VMware-domænet for at omgå reglerne
For nylig opdagede forskere hos Palo Alto Networks en ny variant af Linux-trojaneren Bifrost (også kendt som Bifrose), der bruger en bedragerisk praksis kendt som Typosquatting til at efterligne et betroet VMware-domæne. Det gør det muligt for malwaren at forblive uopdaget. Bifrost er en trojansk fjernadgangsvirus, der har været aktiv siden 2004, og som indsamler følsomme oplysninger som værtsnavn og IP-adresse fra et inficeret system.
Mere end 100 prøver af Bifrost er blevet opdaget i løbet af de seneste måneder, hvilket har skabt bekymring blandt sikkerhedseksperter og organisationer. Desuden er der tegn på, at cyberangribere planlægger at udvide Bifrosts angrebsflade yderligere ved at bruge en ondsindet IP-adresse, der er forbundet med den Linux-variant, der hoster ARM-versionen af Bifrost.
Cyberkriminelle distribuerer typisk Bifrost via vedhæftede filer i e-mails eller ondsindede hjemmesider. Når den er installeret på offerets computer, får Bifrost adgang til et administrations- og kontroldomæne med et bedragerisk navn, der ligner et legitimt VMware-domæne. Malwaren indsamler brugerdata, som sendes tilbage til denne server, og bruger RC4-kryptering til at kryptere dataene.
I sidste ende gør infektionsprocessen det muligt for malwaren at omgå sikkerhedsforanstaltninger, undgå at blive opdaget og i sidste ende kompromittere målsystemerne, siger forskerne.
Kilde: Palo Alto Networks Palo Alto Networks