Una nuova variante del malware Linux BIFROSE ha attirato l’attenzione dei ricercatori di sicurezza informatica per le sue tattiche ingannevoli e pericolose. Questo RAT, noto anche come Bifrost, ha una lunga storia, essendo attivo fin dal 2004. Tuttavia, la sua recente evoluzione presenta nuove sfide per le misure di sicurezza.
Secondo i ricercatori di Palo Alto Networks Unit 42, questa nuova versione di BIFROSE mira a eludere le misure di sicurezza e compromettere sistemi mirati. Utilizza un dominio ingannevole che mimetizza VMware, noto gigante della virtualizzazione, per sfuggire alla rilevazione e alla mitigazione.
Il gruppo di hacker cinesi noto come BlackTech, responsabile di numerosi attacchi contro organizzazioni in Giappone, Taiwan e negli Stati Uniti, è stato collegato all’uso di BIFROSE. Si crede che abbiano ottenuto l’accesso al codice sorgente intorno al 2010 e hanno adattato il malware per le loro campagne tramite backdoor personalizzate come KIVARS e XBOW.
Questa nuova variante di BIFROSE, nota anche come ELF_BIFROSE, è stata osservata fin dal 2020. Le sue capacità includono l’avvio di shell remote, il download/caricamento di file e operazioni sui file. Gli attaccanti solitamente distribuiscono BIFROSE tramite email con allegati dannosi o siti web compromessi.
Ciò che rende questa variante particolarmente insidiosa è l’utilizzo di un dominio ingannevole: “download.vmfare[.]com”, che cerca di mascherarsi come VMware. Questo trucco mira a eludere le difese e ad accedere ai sistemi vulnerabili.
L’attività di BIFROSE è aumentata significativamente dal 2023, con oltre 104 artefatti identificati da Unit 42. È stato anche scoperto una versione Arm del malware, suggerendo che gli attaccanti stiano cercando di ampliare il loro raggio d’azione.
Questo aumento dell’attività di BIFROSE coincide con una nuova campagna GuLoader, che diffonde il malware attraverso allegati di file SVG dannosi nelle email. La natura in evoluzione di queste minacce sottolinea l’importanza di una costante vigilanza e di misure di sicurezza aggiornate.
Gli attacchi di BIFROSE e GuLoader sono solo alcuni esempi della sempre crescente minaccia del malware. Accanto a questi, una nuova versione del RAT Warzone ha attirato l’attenzione delle autorità, con due operatori arrestati e l’infrastruttura smantellata dagli Stati Uniti. Questi eventi sottolineano la necessità di un’azione concertata per contrastare le minacce informatiche sempre più sofisticate e dannose.