Bifrost
¿Qué es?
Bifrost es un malware de tipo troyano backdoor con capacidades de acceso remoto (RAT), que se enfoca en infectar dispositivos Windows y Linux para controlarlos remotamente. Se trata de una variante del malware Bifrose y, como tal, también proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.
¿Qué hace?
Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:
- Permite el control remoto y la ejecución de comandos mediante shell.
- Permite la manipulación de archivos y del registro del sistema y la gestión de los procesos.
- Registra pulsaciones de teclas (keylogging) para capturar información sensible.
- Captura imágenes de pantalla de la sesión de los usuarios para vigilar su actividad.
- Se comunica con sus servidores de mando y control (C2) a través de un canal cifrado con RC4 modificado, con llamadas a dominios fraudulentos que imitan marcas legítimas por tipografía y, por lo general, con peticiones al puerto TCP/81 (o cualquier otro puerto TCP configurable) para evadir su detección y realizar despliegues mediante instrucciones.
Sistemas afectados
Los principales dispositivos afectados son:
- Dispositivos con sistemas Microsoft Windows.
- Dispositivos con sistemas Linux.
¿Cómo me infecta?
Este malware infecta a los dispositivos a través de correos electrónicos de phishing con archivos adjuntos maliciosos, a través de enlaces a sitios web comprometidos y a través del uso de droppers que inyectan su código malicioso.
Cómo desinfectar mi equipo
Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.
