A νέα παραλλαγή του remote access trojan (RAT) Bifrost στοχεύει Linux systems και χρησιμοποιεί νέες τεχνικές αποφυγής της ανίχνευσης, μια εκ των οποίων είναι η χρήση ενός παραπλανητικού domain που μιμείται την VMware.
Το Bifrost είναι ένα από τα πιο παλιά RAT malware, αφού εντοπίστηκε για πρώτη φορά πριν από είκοσι χρόνια. Μολύνει τους χρήστες μέσω κακόβουλων συνημμένων σε emails ή μέσω κακόβουλων ιστοτόπων και συλλέγει ευαίσθητες πληροφορίες από το μολυσμένο υπολογιστή.
Οι ερευνητές της Palo Alto Networks noticed αυξημένη δραστηριότητα του Bitfrost, η οποία τους οδήγησε στην ανακάλυψη μιας νέας Linux παραλλαγής.
Bifrost RAT malaware
Σύμφωνα με τους ερευνητές, τα πιο πρόσφατα δείγματα του Bifrost δείχνουν νέες λειτουργικές δυνατότητες και δυνατότητες αποφυγής της ανίχνευσης.
){kind=link}
See also: Hackers sell DCRat subscriptions for $5 to groups on Telegram
Αρχικά, ο command and control (C2) server στον οποίο συνδέεται η Linux έκδοση του Bifrost, χρησιμοποιεί το domain “download.vmfare[.]com“, και φαίνεται σαν να προσπαθεί να μιμηθεί το legal domain VMware. Κάποιος που δεν είναι τόσο προσεκτικός, μπορεί να μην παρατηρήσει το γράμμα που είναι λάθος.
Το παραπλανητικό domain επικοινωνεί με ένα public DNS resolver που εδρεύει στην Ταϊβάν, κάτι που δυσκολεύει τον εντοπισμό και τον αποκλεισμό.
Επιπλέον, οι ερευνητές παρατήρησαν ότι το binary είναι compiled σε stripped form χωρίς information debugging ή symbol tables, κάτι που καθιστά την ανάλυσή του πιο δύσκολη.
Όπως είπαμε παραπάνω, το Bifrost RAT malware συλλέγει ευαίσθητες πληροφορίες και συγκεκριμένα το όνομα κεντρικού υπολογιστή, τη διεύθυνση IP και τα process IDs του θύματος. Στη συνέχεια, χρησιμοποιεί RC4 encryption και μετά τα εξάγει στο C2 μέσω ενός νέου TCP socket.
Οι ερευνητές βρήκαν και μια έκδοση ARM του Bifrost, η οποία έχει την ίδια λειτουργικότητα με τα δείγματα x86 που αναλύθηκαν.
See also: Xeno RAT: A new dangerous RAT Trojan is on GitHub
Η εμφάνιση αυτών των νέων εκδόσεων δείχνει ότι οι εισβολείς σκοπεύουν να διευρύνουν το εύρος στόχευσης σε αρχιτεκτονικές που βασίζονται σε ARM.
Το Bifrost RAT malware δεν θεωρείται ως η πιο εξελιγμένη cyber threat, αλλά η πρόσφατη αυξημένη δραστηριότητα και οι νέες εκδόσεις (Linux, ARM) δείχνουν ότι πρέπει να είμαστε σε επαγρύπνηση.
Ένας αποτελεσματικός τρόπος προστασίας από τα RAT είναι η εγκατάσταση και η ενημέρωση ενός αξιόπιστου λογισμικού antivirus. Τα προηγμένα προγράμματα Security μπορούν να ανιχνεύσουν και να απομακρύνουν τα RAT, προσφέροντας ένα επίπεδο προστασίας.
In addition, it is important to ενημερώνετε τακτικά το λειτουργικό σας σύστημα και όλες τις εφαρμογές σας. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις Security που μπορούν να αποτρέψουν την εκμετάλλευση ευπαθειών για την εγκατάσταση RAT.
See also: Remcos RAT is distributed via a new version of the IDAT loader
The use of προηγμένων λύσεων ασφαλείας δικτύου, όπως τα συστήματα προστασίας από εισβολές (IPS) και τα συστήματα protection από εξαπάτηση (IDS), μπορεί επίσης να βοηθήσει στην ανίχνευση και την πρόληψη των RAT.
Finally, the εκπαίδευση των χρηστών για την αναγνώριση και την αποφυγή των φαινομένων phishing και άλλων τακτικών που χρησιμοποιούν οι επιτιθέμενοι για την εγκατάσταση RAT είναι ζωτικής σημασίας. Η αποφυγή ανοίγματος ύποπτων συνημμένων και συνδέσμων μπορεί να είναι σωτήρια.
Source : www.bleepingcomputer.com