Il faut se méfier du trojan d'accès distant qui dort. Loin d'être inconnu et sévissant depuis 2004, Bifrost connait depuis son apparition de nombreuses variantes dont une dernière découverte par Palo Alto Networks qui s'avère particulièrement retors. Pour rappel ce RAT donne la capacité à un pirate de recueillir des informations sensibles, telles que le nom d'hôte et l'adresse IP. Alors pour quelles raisons se méfier tout particulièrement de cette variante ?
« La dernière version de Bifrost s'adresse à un domaine de commande et de contrôle (C2) avec un nom trompeur, download.vmfare[.]com, qui semble similaire à un domaine VMware légitime », expliquent les chercheurs. Grâce à une technique bien connue - et qui malheureusement fait encore ses preuves - de typosquatting, les pirates derrière cette variante de Bifrost sont ainsi en mesure de contourner les mesures de détection pour compromettre des systèmes.
Elargir les attaques aux architectures ARM
Dans le cadre de sa recherche et sur la base de l'analyse d'un échantillon, Unit42 a détaillé le fonctionnement de ce malware qui est capable via une fonction setSocket d'établir la communication, puis collecter les données de l'utilisateur et les envoie au serveur de l'attaquant. Une version ARM de Bitfrost disposant des mêmes fonctionnalités que les sample x86 analysés dans ce rapport a par ailleurs également été détectée, suggérant une volonté des pirates d'élargir leurs opérations malveillantes en ne se cantonnant plus seulement aux architectures x86.
Les indicateurs de compromissions ont été publiés par Palo Alto qui recommande par la même occasion de recourir à des outils spécifiques (filtrage URL avancée, pare-feu dopé à l'IA...) pour se prémunir de ce type d'attaques.
Commentaire