Uma nova variante Linux do trojan de acesso remoto Bifrost (RAT) emprega várias técnicas de evasão inovadoras, incluindo o uso de um domínio enganoso que foi feito para parecer parte do VMware.
Identificado pela primeira vez há vinte anos, o Bifrost é uma das ameaças RAT mais antigas em circulação.
Ele infecta os usuários através de anexos de email maliciosos ou sites que soltam payloads e, em seguida, coleta informações sensíveis do host.
Os pesquisadores do Unit 42 da Palo Alto Networks relatam observar um pico na atividade do Bitfrost recentemente, que os levou a realizar uma investigação que revelou uma nova variante mais furtiva.
A análise das últimas amostras do Bitfrost pelos pesquisadores do Unit 42 revelou várias atualizações interessantes que aprimoram as capacidades operacionais e de evasão do malware.
Primeiro, o servidor de comando e controle (C2) ao qual o malware se conecta usa o domínio "download.vmfare[.]com", que parece semelhante a um domínio legítimo do VMware, permitindo que seja facilmente ignorado durante a inspeção.
O domínio enganoso é resolvido contatando um resolvedor DNS público baseado em Taiwan, o que torna o rastreamento e bloqueio mais difícil.
No lado técnico do malware, o binário é compilado em forma cortada sem qualquer informação de depuração ou tabelas de símbolos, tornando sua análise mais difícil.
O Bitfrost coleta o nome do host da vítima, o endereço IP e os IDs de processo, em seguida, usa criptografia RC4 para protegê-lo antes da transmissão, e então o exfiltra para o C2 por meio de um soquete TCP recém-criado.
Outra nova descoberta destacada no relatório do Unit 42 é uma versão ARM do Bitfrost, que tem a mesma funcionalidade das amostras x86 analisadas no texto.
O surgimento dessas versões mostra que os invasores pretendem ampliar seu escopo de mira para arquiteturas baseadas em ARM que agora estão se tornando cada vez mais comuns em vários ambientes.
Embora o Bitfrost pode não ser classificado como uma ameaça altamente sofisticada ou uma das peças de malware mais amplamente distribuídas, as descobertas feitas pela equipe do Unit 42 pedem por uma maior vigilância.
Os desenvolvedores por trás do RAT estão claramente mirando em refiná-lo para se tornar uma ameaça mais dissimulada capaz de atingir uma ampla gama de arquiteturas de sistema.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...