Segundo a empresa de segurança cibernética Volexity, um novo malware Linux é controlado via emojis enviados do Discord.
Um malware Linux recém-descoberto, apelidado de ‘DISGOMOJI’, usa a nova abordagem de utilizar emojis para executar comandos em dispositivos infectados em ataques a agências governamentais na Índia.
Novo malware Linux é controlado via emojis enviados do Discord
O malware foi descoberto pela empresa de segurança cibernética Volexity, que acredita estar ligado a um ator de ameaça baseado no Paquistão conhecido como ‘UTA0137’.
“Em 2024, a Volexity identificou uma campanha de ciberespionagem realizada por um suposto ator de ameaça baseado no Paquistão que a Volexity atualmente rastreia sob o pseudônimo UTA0137”, explica a Volexity.
“A Volexity avalia com grande confiança que o UTA0137 tem objetivos relacionados à espionagem e uma missão de atingir entidades governamentais na Índia. Com base na análise da Volexity, as campanhas do UTA0137 parecem ter sido bem-sucedidas”, continuaram os pesquisadores.
O malware é semelhante a muitos outros backdoors/botnets usados em diferentes ataques, permitindo que os agentes da ameaça executem comandos, façam capturas de tela, roubem arquivos, implantem cargas adicionais e procurem arquivos.
No entanto, o uso do Discord e dos emojis como plataforma de comando e controle (C2) faz com que o malware se destaque dos outros e pode permitir que ele contorne o software de segurança que procura comandos baseados em texto.
De acordo com a Volexity, o malware foi descoberto depois que os pesquisadores detectaram um executável ELF compactado em UPX em um arquivo ZIP, provavelmente distribuído por meio de e-mails de phishing.
A Volexity acredita que o malware tem como alvo uma distribuição Linux personalizada chamada BOSS, que as agências governamentais indianas usam como desktop.
Quando executado, o malware baixará e exibirá uma isca em PDF que é um formulário de beneficiário do Fundo de Previdência para Oficiais do Serviço de Defesa da Índia em caso de morte de um oficial.
No entanto, cargas adicionais serão baixadas em segundo plano, incluindo o malware DISGOMOJI e um script de shell chamado ‘uevent_seqnum.sh’ que é usado para procurar unidades USB e roubar dados delas.
Quando o DISGOMOJI é iniciado, o malware exfiltra informações do sistema da máquina, incluindo endereço IP, nome de usuário, nome do host, sistema operacional e o diretório de trabalho atual, que são enviadas de volta aos invasores.
Para controlar o malware, os agentes da ameaça utilizam o projeto de comando e controle de código aberto discord-c2, que usa Discord e emojis para se comunicar com dispositivos infectados e executar comandos.
O malware se conectará a um servidor Discord controlado pelo invasor e aguardará que os agentes da ameaça digitem emojis no canal.
Segundo a Volexity:
“DISGOMOJI escuta novas mensagens no canal de comando do servidor Discord. A comunicação C2 ocorre usando um protocolo baseado em emoji onde o invasor envia comandos ao malware enviando emojis para o canal de comando, com parâmetros adicionais seguindo o emoji quando aplicável. Enquanto DISGOMOJI está processando um comando, ele reage com um emoji ‘Relógio’ na mensagem de comando para informar ao invasor que o comando está sendo processado. Assim que o comando for totalmente processado, a reação do emoji ‘Relógio’ é removida e DISGOMOJI adiciona um emoji ‘Check Mark Button’ como uma reação à mensagem de comando para confirmar que o comando foi executado.”
Nove emojis são usados para representar comandos a serem executados em um dispositivo infectado, listados abaixo.
O malware mantém persistência no dispositivo Linux usando o comando cron @reboot para executar o malware na inicialização.
A Volexity afirma ter descoberto versões adicionais que utilizavam outros mecanismos de persistência para DISGOMOJI e o script de roubo de dados USB, incluindo entradas de inicialização automática XDG.
Depois que um dispositivo é violado, os agentes da ameaça utilizam seu acesso para se espalhar lateralmente, roubar dados e tentar roubar credenciais adicionais dos usuários-alvo.
Embora os emojis possam parecer uma novidade “fofa” para o malware, eles podem permitir que ele contorne a detecção por software de segurança que normalmente procura comandos de malware baseados em strings, tornando esta uma abordagem interessante.
