Expertos en seguridad de Palo Alto Networks han revelado una nueva forma del notorio malware Bifrost, que ahora tiene como objetivo los sistemas Linux. Esta iteración reciente utiliza un dominio engañoso, download.vmfare[.] com, para hacerse pasar por un sitio legítimo de VMware, logrando evadir las medidas de seguridad y comprometiendo a usuarios desprevenidos.
La amenaza persistente de Bifrost, un troyano de acceso remoto (RAT) identificado por primera vez en 2004, ha tomado un nuevo giro al incrementarse las variantes que afectan a los sistemas Linux. Este fenómeno ha generado crecientes preocupaciones dentro de la comunidad de ciberseguridad, indicando un posible aumento en los ataques dirigidos a plataformas basadas en Linux.
El modus operandi de esta última variante de Bifrost resulta sumamente insidioso. Al explotar un dominio que se asemeja notablemente a uno legítimo de VMware, los atacantes pueden burlar la detección y obtener acceso no autorizado a los sistemas objetivo. Esta táctica, conocida como typosquatting, está generando crecientes inquietudes en el ámbito de la ciberseguridad.
Una vez que se instala, Bifrost establece una conexión de socket para comunicarse con su dominio de comando y control (C2), recopilando datos del usuario que luego se cifran mediante el cifrado RC4 antes de ser enviados al servidor del atacante. Esta sofisticación destaca la naturaleza evolutiva del malware y subraya la importancia de permanecer alerta ante estas amenazas.
La detección de una versión ARM de Bifrost en la misma dirección IP maliciosa indica una expansión en la superficie de ataque, dirigida a una gama más amplia de dispositivos más allá de los que utilizan arquitecturas x86. Este desarrollo destaca la necesidad de contar con soluciones de seguridad integrales capaces de adaptarse a las tácticas cambiantes de los ciberdelincuentes.
