Bifrost (ou Bifrose) est une menace de sécurité au long cours qui a fait ses gammes sur Windows, avant de s'attaquer également à Linux, notamment sous la houlette d'un groupe BlackTech (suspecté d'être soutenu par la Chine) qui aurait mis la main sur son code source.

Identifié pour la première fois il y a environ vingt ans, Bifrost est un outil d'accès à distance utilisé à des fins malveillantes. Via une nouvelle itération pour les systèmes Linux et un récent pic d'activité, ce cheval de Troie refait parler de lui dans un rapport de l'Unité 42 de Palo Alto Networks.

" Les attaquants distribuent généralement Bifrost par le biais de pièces jointes d'e-mails ou de sites web malveillants. Une fois installé sur l'ordinateur d'une victime, Bifrost permet à l'attaquant de recueillir des informations sensibles, comme le nom d'hôte et l'adresse IP de la victime ", écrivent les chercheurs de sécurité.

Avec du typosquattage

L'analyse d'un échantillon a mis au jour un serveur de commande et de contrôle qui s'appuie sur un domaine comprenant le mot vmfare. Il imite ainsi le domaine légitime de VMware pour tenter de faire illusion et échapper à une détection.

Le domaine trompeur est résolu par un résolveur DNS public basé à Taïwan. " Cette étape est cruciale pour s'assurer que le malware peut se connecter avec succès à sa destination prévue. " L'objectif est en tout cas de compliquer la tâche d'un suivi et d'un blocage.

Diverses techniques d'obfuscation du code sont employées pour rendre plus complexe une rétro-ingénierie. Les données collectées sur les victimes sont chiffrées avant une transmission et exfiltration. Le malware créé un nouveau socket TCP pour établir les communications.

unite-42-palo-alto-cheval-troie

Un appel à la vigilance

L'Unité 42 de Palo Alto Networks souligne que pour étendre la surface d'attaque, une version ARM de Bifrost reprend les fonctions de la version x86 qu'elle a analysée. Le rapport comprend quelques indicateurs de compromission.

Même si le niveau de sophistication est sujet à caution en matière de cyberespionnage, Palo Alto écrit que Bifrost demeure " une menace importante et évolutive pour les particuliers et les organisations. "