Des chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert une nouvelle variante Linux d’un cheval de Troie d’acc\u00e8s \u00e0 distance (RAT) appel\u00e9 BIFROSE (alias Bifrost) qui utilise un domaine trompeur imitant VMware.<\/p>\n
“Cette derni\u00e8re version de Bifrost vise \u00e0 contourner les mesures de s\u00e9curit\u00e9 et \u00e0 compromettre les syst\u00e8mes cibl\u00e9s”, Anmol Maurya et Siddharth Sharma, chercheurs de l’unit\u00e9 42 de Palo Alto Networks. dit<\/a>.<\/p>\n BIFROSE<\/a> est l’une des menaces actives de longue date depuis 2004. Elle a \u00e9t\u00e9 propos\u00e9e \u00e0 la vente sur des forums clandestins pour un prix allant jusqu’\u00e0 10 000 dollars dans le pass\u00e9, selon un rapport<\/a> de Trend Micro en d\u00e9cembre 2015.<\/p>\n Le malware a \u00e9t\u00e9 utilis\u00e9 par un groupe de piratage chinois soutenu par l’\u00c9tat et suivi sous le nom de BlackTech (alias Circuit Panda, HUAPI, Manga Taurus, Palmerworm, PLEAD, Red Djinn et Temp.Overboard), qui a un historique de gr\u00e8ves d’organisations dans le monde. Japon, Ta\u00efwan et \u00c9tats-Unis<\/p>\n On soup\u00e7onne que l’auteur de la menace a achet\u00e9 le code source ou y a eu acc\u00e8s vers 2010, et a r\u00e9utilis\u00e9 le logiciel malveillant pour l’utiliser dans ses propres campagnes via des portes d\u00e9rob\u00e9es personnalis\u00e9es telles que KIVARS et XBOW.<\/p>\n Des variantes Linux de BIFROSE (alias ELF_BIFROSE) ont \u00e9t\u00e9 observ\u00e9<\/a> depuis<\/a> au moins 2020<\/a> avec des capacit\u00e9s pour lancer des shells distants, t\u00e9l\u00e9charger\/t\u00e9l\u00e9charger des fichiers et effectuer des op\u00e9rations sur les fichiers.<\/p>\n “Les attaquants distribuent g\u00e9n\u00e9ralement Bifrost via des pi\u00e8ces jointes \u00e0 des e-mails ou sur des sites Web malveillants”, ont indiqu\u00e9 les chercheurs. “Une fois install\u00e9 sur l’ordinateur d’une victime, Bifrost permet \u00e0 l’attaquant de collecter des informations sensibles, comme le nom d’h\u00f4te et l’adresse IP de la victime.”<\/p>\n Ce qui rend la derni\u00e8re variante remarquable, c’est qu’elle s’adresse \u00e0 un serveur de commande et de contr\u00f4le (C2) portant le nom \u00ab download.vmfare \u00bb.[.]com” dans le but de se faire passer pour VMware. Le domaine trompeur est r\u00e9solu en contactant un r\u00e9solveur DNS public bas\u00e9 \u00e0 Taiwan avec l’adresse IP 168.95.1.[.]1.<\/p>\n L’unit\u00e9 42 a d\u00e9clar\u00e9 avoir d\u00e9tect\u00e9 un pic d’activit\u00e9 du Bifrost depuis octobre 2023, identifiant pas moins de 104 artefacts dans sa t\u00e9l\u00e9m\u00e9trie. Il a en outre d\u00e9couvert une version Arm du malware, ce qui sugg\u00e8re que les auteurs de la menace cherchent probablement \u00e0 \u00e9tendre leur surface d’attaque.<\/p>\n “Avec de nouvelles variantes qui emploient des strat\u00e9gies de domaine trompeuses comme le typosquatting, un r\u00e9cent pic d’activit\u00e9 de Bifrost met en \u00e9vidence la nature dangereuse de ce malware”, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n Le d\u00e9veloppement intervient alors que McAfee Labs d\u00e9taill\u00e9<\/a> une nouvelle campagne GuLoader qui propage le malware via des pi\u00e8ces jointes SVG malveillantes dans les messages \u00e9lectroniques. Il a \u00e9galement \u00e9t\u00e9 observ\u00e9 que le logiciel malveillant \u00e9tait distribu\u00e9 via des scripts VBS dans le cadre d’une livraison de charge utile en plusieurs \u00e9tapes.<\/p>\n “Cette r\u00e9cente pouss\u00e9e met en \u00e9vidence l’\u00e9volution de ses tactiques pour une port\u00e9e et une \u00e9vasion plus larges”, Trustwave SpiderLabs dit<\/a> dans un article sur X plus t\u00f4t cette semaine.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/03\/Nouvelle-variante-de-logiciel-malveillant-BIFROSE-Linux-utilisant-un-domaine.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n