Μια νέα παραλλαγή του remote access trojan (RAT) Bifrost στοχεύει Linux συστήματα και χρησιμοποιεί νέες τεχνικές αποφυγής της ανίχνευσης, μια εκ των οποίων είναι η χρήση ενός παραπλανητικού domain που μιμείται την VMware.
Το Bifrost είναι ένα από τα πιο παλιά RAT malware, αφού εντοπίστηκε για πρώτη φορά πριν από είκοσι χρόνια. Μολύνει τους χρήστες μέσω κακόβουλων συνημμένων σε emails ή μέσω κακόβουλων ιστοτόπων και συλλέγει ευαίσθητες πληροφορίες από το μολυσμένο υπολογιστή.
Οι ερευνητές της Palo Alto Networks παρατήρησαν αυξημένη δραστηριότητα του Bitfrost, η οποία τους οδήγησε στην ανακάλυψη μιας νέας Linux παραλλαγής.
Bifrost RAT malaware
Σύμφωνα με τους ερευνητές, τα πιο πρόσφατα δείγματα του Bifrost δείχνουν νέες λειτουργικές δυνατότητες και δυνατότητες αποφυγής της ανίχνευσης.
){kind=link}
Δείτε επίσης: Χάκερς πωλούν συνδρομές DCRat για $5 σε ομάδες στο Telegram
Αρχικά, ο command and control (C2) server στον οποίο συνδέεται η Linux έκδοση του Bifrost, χρησιμοποιεί το domain “download.vmfare[.]com“, και φαίνεται σαν να προσπαθεί να μιμηθεί το νόμιμο domain VMware. Κάποιος που δεν είναι τόσο προσεκτικός, μπορεί να μην παρατηρήσει το γράμμα που είναι λάθος.
Το παραπλανητικό domain επικοινωνεί με ένα public DNS resolver που εδρεύει στην Ταϊβάν, κάτι που δυσκολεύει τον εντοπισμό και τον αποκλεισμό.
Επιπλέον, οι ερευνητές παρατήρησαν ότι το binary είναι compiled σε stripped form χωρίς πληροφορίες debugging ή symbol tables, κάτι που καθιστά την ανάλυσή του πιο δύσκολη.
Όπως είπαμε παραπάνω, το Bifrost RAT malware συλλέγει ευαίσθητες πληροφορίες και συγκεκριμένα το όνομα κεντρικού υπολογιστή, τη διεύθυνση IP και τα process IDs του θύματος. Στη συνέχεια, χρησιμοποιεί RC4 encryption και μετά τα εξάγει στο C2 μέσω ενός νέου TCP socket.
Οι ερευνητές βρήκαν και μια έκδοση ARM του Bifrost, η οποία έχει την ίδια λειτουργικότητα με τα δείγματα x86 που αναλύθηκαν.
Δείτε επίσης: Xeno RAT: Ένα νέο επικίνδυνο RAT Trojan βρίσκεται στο GitHub
Η εμφάνιση αυτών των νέων εκδόσεων δείχνει ότι οι εισβολείς σκοπεύουν να διευρύνουν το εύρος στόχευσης σε αρχιτεκτονικές που βασίζονται σε ARM.
Το Bifrost RAT malware δεν θεωρείται ως η πιο εξελιγμένη κυβερνοαπειλή, αλλά η πρόσφατη αυξημένη δραστηριότητα και οι νέες εκδόσεις (Linux, ARM) δείχνουν ότι πρέπει να είμαστε σε επαγρύπνηση.
Ένας αποτελεσματικός τρόπος προστασίας από τα RAT είναι η εγκατάσταση και η ενημέρωση ενός αξιόπιστου λογισμικού antivirus. Τα προηγμένα προγράμματα ασφαλείας μπορούν να ανιχνεύσουν και να απομακρύνουν τα RAT, προσφέροντας ένα επίπεδο προστασίας.
Επιπλέον, είναι σημαντικό να ενημερώνετε τακτικά το λειτουργικό σας σύστημα και όλες τις εφαρμογές σας. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να αποτρέψουν την εκμετάλλευση ευπαθειών για την εγκατάσταση RAT.
Δείτε επίσης: Το Remcos RAT διαδίδεται μέσω νέας έκδοσης του IDAT loader
Η χρήση προηγμένων λύσεων ασφαλείας δικτύου, όπως τα συστήματα προστασίας από εισβολές (IPS) και τα συστήματα προστασίας από εξαπάτηση (IDS), μπορεί επίσης να βοηθήσει στην ανίχνευση και την πρόληψη των RAT.
Τέλος, η εκπαίδευση των χρηστών για την αναγνώριση και την αποφυγή των φαινομένων phishing και άλλων τακτικών που χρησιμοποιούν οι επιτιθέμενοι για την εγκατάσταση RAT είναι ζωτικής σημασίας. Η αποφυγή ανοίγματος ύποπτων συνημμένων και συνδέσμων μπορεί να είναι σωτήρια.
Πηγή: www.bleepingcomputer.com