Investigadores de ciberseguridad han descubierto una nueva variante para Linux de un troyano de acceso remoto (RAT) llamado BIFROSE (tambi\u00e9n conocido como Bifrost) que utiliza un dominio enga\u00f1oso que imita a VMware.<\/p>\n
“Esta \u00faltima versi\u00f3n de Bifrost tiene como objetivo eludir las medidas de seguridad y comprometer los sistemas espec\u00edficos”, dijeron los investigadores de la Unidad 42 de Palo Alto Networks, Anmol Maurya y Siddharth Sharma. dicho<\/a>.<\/p>\n BIFROSE<\/a> es una de las amenazas de larga data que ha estado activa desde 2004. Se ha ofrecido a la venta en foros clandestinos por hasta 10.000 d\u00f3lares en el pasado, seg\u00fan un informe<\/a> de Trend Micro en diciembre de 2015.<\/p>\n El malware ha sido utilizado por un grupo de hackers respaldado por el estado de China, identificado como BlackTech (tambi\u00e9n conocido como Circuit Panda, HUAPI, Manga Taurus, Palmerworm, PLEAD, Red Djinn y Temp.Overboard), que tiene un historial de ataques a organizaciones en Jap\u00f3n, Taiw\u00e1n y Estados Unidos<\/p>\n Se sospecha que el actor de amenazas compr\u00f3 el c\u00f3digo fuente o obtuvo acceso a \u00e9l alrededor de 2010, y reutiliz\u00f3 el malware para usarlo en sus propias campa\u00f1as a trav\u00e9s de puertas traseras personalizadas como KIVARS y XBOW.<\/p>\n Se han publicado variantes de Linux de BIFROSE (tambi\u00e9n conocido como ELF_BIFROSE). observado<\/a> desde<\/a> al menos 2020<\/a> con capacidades para iniciar shells remotos, descargar\/cargar archivos y realizar operaciones con archivos.<\/p>\n “Los atacantes suelen distribuir Bifrost a trav\u00e9s de archivos adjuntos de correo electr\u00f3nico o sitios web maliciosos”, dijeron los investigadores. “Una vez instalado en la computadora de la v\u00edctima, Bifrost permite al atacante recopilar informaci\u00f3n confidencial, como el nombre de host y la direcci\u00f3n IP de la v\u00edctima”.<\/p>\n Lo que hace que la \u00faltima variante sea notable es que llega a un servidor de comando y control (C2) con el nombre “download.vmfare”.[.]com” en un intento de hacerse pasar por VMware. El dominio enga\u00f1oso se resuelve contactando a un solucionador de DNS p\u00fablico con sede en Taiw\u00e1n con la direcci\u00f3n IP 168.95.1[.]1.<\/p>\n La Unidad 42 dijo que detect\u00f3 un aumento en la actividad de Bifrost desde octubre de 2023, identificando no menos de 104 artefactos en su telemetr\u00eda. Adem\u00e1s, descubri\u00f3 una versi\u00f3n Arm del malware, lo que sugiere que los actores de la amenaza probablemente est\u00e9n buscando expandir su superficie de ataque.<\/p>\n “Con nuevas variantes que emplean estrategias de dominio enga\u00f1osas como typosquatting, un aumento reciente en la actividad de Bifrost resalta la naturaleza peligrosa de este malware”, dijeron los investigadores.<\/p>\n El desarrollo llega como McAfee Labs detallado<\/a> una nueva campa\u00f1a de GuLoader que propaga el malware a trav\u00e9s de archivos adjuntos SVG maliciosos en mensajes de correo electr\u00f3nico. Tambi\u00e9n se ha observado que el malware se distribuye a trav\u00e9s de scripts VBS como parte de una entrega de carga \u00fatil de varias etapas.<\/p>\n “Este reciente aumento pone de relieve sus t\u00e1cticas en evoluci\u00f3n para un mayor alcance y evasi\u00f3n”, Trustwave SpiderLabs dicho<\/a> en una publicaci\u00f3n en X a principios de esta semana.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/03\/Nueva-variante-de-malware-BIFROSE-para-Linux-que-utiliza-un.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n