Malware Bifrost per Linux imita VMware per eludere il rilevamento

I ricercatori dell'Unit 42 di Palo Alto Networks hanno identificato una nuova variante Linux del trojan di accesso remoto (RAT) Bifrost. Quest’ultima sfrutta diverse nuove tecniche di evasione, compreso l'uso di un dominio ingannevole che è stato fatto apparire come parte di VMware (software di virtualizzazione del computer). Scoperto per la prima volta vent'anni fa, Bifrost è una delle minacce RAT più longeve in circolazione. Infetta gli utenti tramite allegati e-mail dannosi o siti che rilasciano payload per raccoglie informazioni sensibili dall'host. I ricercatori hanno recentemente osservato recentemente un picco nell'attività di Bitfrost. Ciò li ha portati a svolgere un'indagine che ha svelato una nuova variante più furtiva.

Bifrost: come funziona l’attacco della variante del malware su Linux

Dall'analisi degli ultimi campioni Bitfrost, i ricercatori dell'Unit 42 hanno scoperto diversi aggiornamenti che migliorano le capacità operative e di evasione del malware. Innanzitutto, il server di comando e controllo (C2) a cui si connette il malware utilizza il dominio "download.vmfare[.]com", che appare simile a un dominio VMware legittimo (usando la tecnica chiamata typosquatting). Ciò permette di non essere notato facilmente durante l'ispezione. Il dominio ingannevole viene risolto contattando un risolutore DNS pubblico con sede a Taiwan, il che rende più difficile il tracciamento e il blocco. Dal punto di vista tecnico, il file binario viene compilato in forma ridotta, senza informazioni di debug o tabelle di simboli. Ciò rende difficile l'analisi. Bitfrost raccoglie il nome host, l'indirizzo IP e gli ID di processo della vittima. In seguito, utilizza la crittografia RC4 per proteggerlo prima della trasmissione e quindi lo esfiltra nel C2 tramite un socket TCP appena creato.

Un'altra nuova scoperta evidenziata nel rapporto dell'Unit 42 è una versione ARM di Bitfrost, che ha la stessa funzionalità dei campioni x86 già analizzati. L’emergere di queste build dimostra che gli aggressori intendono ampliare i loro attacchi, mirando alle architetture basate su ARM, ormai molto comuni in vari ambienti. Bitfrost potrebbe non essere considerato una minaccia altamente sofisticata o uno dei malware più ampiamente distribuiti. Tuttavia, le scoperte fatte dai ricercatori dell’Unit 42 richiedono una maggiore attenzione. Gli hacker che hanno sviluppato il RAT mirano chiaramente a trasformarlo in una grave minaccia, in grado di prendere di mira una gamma più ampia di architetture di sistema.