Bifrost RAT的最新版本以Linux設備為目標模仿VMware的域名

Bifrost RAT的最新版本采用了包括拼寫錯誤在內的復雜技術，以避免檢測并使其溯源工作變得更加復雜。

Palo Alto Networks Unit 42的網絡安全專家發現了一種新的網絡安全威脅：針對Linux系統的Bifrost RAT（也稱為 Bifrose）的新變種??。該變體利用名為download.vmfare(.)com的棘手域名，旨在逃避檢測并危害目標系統。

惡意域與合法VMware域具有不太容易區分的相似之處，唯一的區別是域中字母“F”替換為“W”：VMware變為VMfare。VMware是虛擬化和云計算軟件及服務的領先提供商。

這種類型的攻擊稱為錯位域名攻擊，其中惡意行為者注冊與流行域名類似的域名，依靠用戶輸入錯誤來訪問其網站，通常用于網絡釣魚或惡意軟件分發目的。例如，“這是Google.com，而不是?oogle.com。”

新的Bifrost RAT變體以Linux設備為目標，模仿VMware 域名

Bifrost是一種遠程訪問特洛伊木馬(RAT)，其歷史可以追溯到2004年，因其隱藏在系統內、將惡意代碼注入合法進程以及與外部服務器建立秘密通信通道的能力而臭名昭著。這使得攻擊者可以輕松竊取敏感數據。

研究人員在其技術博客文章中詳細介紹了Bifrost的最新版本，它采用了復雜的技術來避免檢測，并使追蹤其起源的工作變得更加復雜。通過使用RC4加密技術對收集的數據進行加密，并使用具有欺騙性名稱的上述域名，該惡意軟件使安全專家很難阻止其活動。

此外，該惡意軟件最近部署在托管ARM版本的服務器上，暗示其目標有所擴大。

對惡意軟件代碼的分析揭示了建立連接和收集數據的復雜策略，展示了其逃避檢測的先進能力。Palo Alto Networks 近幾個月檢測到100多個Bifrost活動實例，表明迫切需要加強安全措施。

為了防范Bifrost攻擊，Unit 42研究人員建議采用多方面的方法，包括定期系統更新、強大的訪問控制、端點安全解決方案的部署以及對網絡活動的警惕監控。