Une nouvelle variante Linux du cheval de Troie d’accès à distance Bifrost (RAT) utilise plusieurs nouvelles techniques d’évasion, y compris l’utilisation d’un domaine trompeur qui a été fait pour apparaître dans le cadre de VMware.

Identifié pour la première fois il y a vingt ans, le bifrost est l’une des menaces les plus anciennes pour les RATS en circulation. Il infecte les utilisateurs via des pièces jointes malveillantes ou des sites d’abandon de charge utile, puis collecte des informations sensibles auprès de l’hôte.

Les chercheurs de l’unité 42 de Palo Alto Networks rapportent avoir observé récemment un pic d’activité de Bitfrost, ce qui les a amenés à mener une enquête qui a dévoilé une nouvelle variante plus furtive.

104 nouveaux échantillons de Bitfrost capturés depuis octobre

Nouvelles tactiques Bifrost
L’analyse des derniers échantillons de Bitfrost par les chercheurs de l’Unité 42 a révélé plusieurs mises à jour intéressantes qui améliorent les capacités opérationnelles et d’évasion du malware.

Tout d’abord, le serveur de commande et de contrôle (C2) auquel le logiciel malveillant se connecte utilise le « téléchargement ».vmfare[.] com », qui ressemble à un domaine VMware légitime, ce qui permet de le manquer facilement lors de l’inspection.

Le domaine trompeur est résolu en contactant un résolveur DNS public basé à Taiwan, ce qui rend le traçage et le blocage plus difficiles.

Requête DNS pour résoudre l’adresse C2

Sur le plan technique du malware, le binaire est compilé sous forme dépouillée sans aucune information de débogage ni table de symboles, ce qui rend son analyse plus difficile.

Bitfrost collecte le nom d’hôte, l’adresse IP et les identifiants de processus de la victime, puis utilise le cryptage RC4 pour le sécuriser avant la transmission, puis l’exfiltrer vers le C2 via un socket TCP nouvellement créé.

Collecte de données sur les victimes

Une autre nouvelle découverte mise en évidence dans le rapport de l’Unité 42 est une version ARM de Bitfrost, qui a les mêmes fonctionnalités que les échantillons x86 analysés dans la rédaction.

L’émergence de ces versions montre que les attaquants ont l’intention d’élargir leur champ de ciblage aux architectures basées sur ARM qui deviennent de plus en plus courantes dans divers environnements.

Bien que Bitfrost ne soit pas considéré comme une menace hautement sophistiquée ou l’un des logiciels malveillants les plus répandus, les découvertes faites par l’équipe de l’Unité 42 appellent à une vigilance accrue.

Les développeurs derrière le RAT visent clairement à l’affiner en une menace plus secrète capable de cibler un plus large éventail d’architectures système.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *