Недавно исследователи Palo Alto Networks обнаружили новый вариант Linux-трояна Bifrost (также известного как Bifrose), который использует обманную технику, известную как тайпсквоттинг, для выдачи себя за доверенные домены VMware. Это позволяет вредоносному ПО оставаться незамеченным. Bifrost — это троянский вирус удаленного доступа, который активен с 2004 года и собирает конфиденциальную информацию, такую как имена хостов и IP-адреса, из зараженных систем.
За последние несколько месяцев было обнаружено более 100 образцов Bifrost, что вызвало обеспокоенность среди экспертов и организаций по безопасности. Кроме того, есть свидетельства того, что киберзлоумышленники планируют еще больше расширить поверхность атаки Bifrost, используя вредоносные IP-адреса, связанные с вариантами Linux, на которых размещены версии Bifrost для ARM.
Киберпреступники обычно распространяют Bifrost через вложения электронной почты или через вредоносные веб-сайты. После установки на компьютер жертвы Bifrost получает доступ к домену управления и контроля с доменом с ложным именем, который напоминает законный домен VMware. Вредоносная программа шифрует данные с использованием шифрования RC4, собирает пользовательские данные и отправляет их обратно на этот сервер.
По словам исследователей, в конечном итоге процесс заражения позволяет вредоносному ПО обходить меры безопасности, уклоняться от обнаружения и в конечном итоге проникать в целевую систему.
Источник: Palo Alto Networks