Nova variante Bifrost para Linux imita domínio VMware para evasão

nova-variante-bifrost-para-linux-imita-dominio-vmware-para-evasao

Uma nova variante Linux do trojan de acesso remoto (RAT) Bifrost emprega várias novas técnicas de evasão. Entre as novas técnicas de evasão, a inclusão do uso de um domínio enganoso que apareceu como parte do VMware.

Nova variante Bifrost para Linux e as novas técnicas de evasão

Identificado pela primeira vez há vinte anos, o Bifrost é uma das ameaças RAT mais antigas em circulação. Ele infecta usuários por meio de anexos de e-mail maliciosos ou sites que descartam carga útil e, em seguida, coleta informações confidenciais do host. Pesquisadores da Unidade 42 da Palo Alto Networks relatam ter observado recentemente um aumento na atividade do Bitfrost, o que os levou a realizar uma investigação que revelou uma variante nova e mais furtiva.

nova-variante-bifrost-para-linux-imita-dominio-vmware-para-evasao
Imagem: Reprodução | Bleeping Computer

A análise das amostras mais recentes do Bitfrost pelos pesquisadores da Unidade 42 revelou várias atualizações interessantes que melhoram as capacidades operacionais e de evasão do malware. Primeiro, o servidor de comando e controle (C2) ao qual o malware se conecta usa o domínio “download.vmfare[.]com”, que parece semelhante a um domínio VMware legítimo, permitindo que ele seja facilmente esquecido durante a inspeção.

O domínio enganoso é resolvido entrando em contato com um resolvedor de DNS público baseado em Taiwan, o que dificulta o rastreamento e o bloqueio. Do lado técnico do malware, o binário é compilado de forma simplificada, sem qualquer informação de depuração ou tabelas de símbolos, dificultando sua análise.

O Bitfrost coleta o nome do host, o endereço IP e os IDs do processo da vítima, depois usa criptografia RC4 para protegê-lo antes da transmissão e, em seguida, exfiltra-o para o C2 por meio de um soquete TCP recém-criado.

nova-variante-bifrost-para-linux-imita-dominio-vmware-para-evasao
Imagem: Reprodução | Bleeping Computer

Mais descobertas acerca da nova variante

Outra nova descoberta destacada no relatório da Unidade 42 é uma versão ARM do Bitfrost, que tem a mesma funcionalidade que as amostras x86 analisadas no artigo. O surgimento dessas compilações mostra que os invasores pretendem ampliar seu escopo de direcionamento para arquiteturas baseadas em ARM que estão se tornando cada vez mais comuns em vários ambientes.

Embora o Bitfrost possa não ser classificado como uma ameaça altamente sofisticada ou um dos malwares mais amplamente distribuídos, as descobertas feitas pela equipe da Unidade 42 exigem maior vigilância. Os desenvolvedores por trás do RAT pretendem claramente refiná-lo em uma ameaça mais secreta, capaz de atingir uma gama mais ampla de arquiteturas de sistema.