Un malware de Linux recientemente descubierto llamado DISGOMOJI utiliza una técnica novedosa para atacar agencias gubernamentales en la India mediante el uso de emojis para ejecutar comandos en dispositivos infectados.
El malware fue descubierto por la empresa de ciberseguridad Volexity, que cree que está asociado con un actor de amenazas con sede en Pakistán conocido como UTA0137.
“En 2024, Volexity identificó una actividad de ciberespionaje llevada a cabo por lo que parece ser un actor de amenazas con sede en Pakistán. Volexity actualmente está rastreando a este actor bajo el alias UTA0137”, explicó Volexity.
“Volexity evalúa con alta confianza que UTA0137 tiene objetivos relacionados con el espionaje y la autoridad para apuntar a entidades gubernamentales en la India, según el análisis de Volexity, la campaña de UTA0137 “parece haber tenido éxito”, continuaron los investigadores.
Este malware es similar a muchas otras puertas traseras/botnets utilizadas en diversos ataques, lo que permite a los actores de amenazas ejecutar comandos, tomar capturas de pantalla, robar archivos o agregar cargas útiles adicionales. Le permite extraer y buscar archivos.
Sin embargo, el uso de Discord y emojis por parte del malware como plataforma de comando y control (C2) lo hace destacar del resto, permitiéndole potencialmente evadir el software de seguridad que busca comandos basados en texto.
Discord y emojis como C2
Según Volexity, el malware se descubrió cuando los investigadores descubrieron un ejecutable ELF empaquetado en UPX en un archivo ZIP. Es probable que este archivo se haya distribuido en un correo electrónico de phishing.
Volexity cree que el malware se dirige a una distribución de Linux personalizada llamada BOSS utilizada por las agencias gubernamentales de la India como computadoras de escritorio. Sin embargo, este malware podría usarse fácilmente para atacar otras distribuciones de Linux.
Una vez ejecutado, el malware descarga y muestra el señuelo en formato PDF, que es el formulario de beneficiario por fallecimiento de oficiales del Fondo de Pensiones de Oficiales de las Fuerzas Armadas de la India.
Sin embargo, se descargan cargas útiles adicionales en segundo plano, incluido el malware DISGOMOJI y un script de shell llamado “uevent_seqnum.sh” que se utiliza para buscar unidades USB y robar datos.
Una vez que se inicia DISGOMOJI, el malware roba información del sistema, como la dirección IP, el nombre de usuario, el nombre de host, el sistema operativo y el directorio de trabajo actual de la máquina y la envía de vuelta al atacante.
Para controlar el malware, los actores de amenazas confían en el proyecto de comando y control de código abierto discord-c2. El proyecto utiliza Discord y emojis para comunicarse con dispositivos infectados y ejecutar comandos.
El malware se conecta a un servidor Discord controlado por el atacante y espera a que el actor de la amenaza escriba emojis en el canal.
“DISGOMOJI escucha nuevos mensajes en el canal de comando del servidor Discord. La comunicación C2 se realiza utilizando un protocolo basado en emoji, donde el atacante envía emojis al canal de comando para enviar comandos al malware. A Emoji le siguen parámetros adicionales, si corresponde, Mientras DISGOMOJI procesa el comando, se muestra un emoji de “reloj” en el mensaje del comando para informar al atacante que el comando se está procesando. Una vez que el comando se procesa por completo, la reacción del emoji “reloj” se elimina y DISGOMOJI agrega un emoji de “botón de marca de verificación” como reacción al mensaje del comando para confirmar que el comando se ha ejecutado. “
❖ Volexidad
Los siguientes nueve emojis se utilizan para representar comandos que se ejecutarán en un dispositivo infectado:
El malware mantiene su persistencia en dispositivos Linux mediante el uso del comando cron @reboot para ejecutar el malware al inicio.
Volexity dice que ha descubierto versiones adicionales de DISGOMOJI y scripts de robo de datos USB que utilizan otros mecanismos de persistencia, incluidas las entradas de inicio automático XDG.
Una vez que un dispositivo se ve comprometido, los actores de amenazas pueden usar ese acceso para propagarse lateralmente, robar datos e intentar robar credenciales adicionales de los usuarios específicos.
Si bien los emojis pueden parecer una novedad “linda” para el malware, este es un enfoque interesante porque les permite evadir la detección por parte del software de seguridad que normalmente busca comandos de malware basados en cadenas.
Fuente: https://www.bleepingcomputer.com/news/security/new-linux-malware-is-controlled-through-emojis-sent-from-discord/amp/