Un malware Linux recent descoperit, numit ‘DISGOMOJI’, folosește abordarea inovatoare de a utiliza emoji-uri pentru a executa comenzi pe dispozitivele infectate în atacuri asupra agențiilor guvernamentale din India.
Malware-ul a fost descoperit de firma de securitate cibernetică Volexity, care crede că este legat de un actor de amenințare cu sediul în Pakistan cunoscut sub numele de ‘UTA0137’.
„În 2024, Volexity a identificat o campanie de spionaj cibernetic desfășurată de un presupus actor de amenințare cu sediul în Pakistan pe care Volexity îl urmărește în prezent sub numele de alias UTA0137,” explică Volexity.
„Volexity evaluează cu încredere ridicată că UTA0137 are obiective legate de spionaj și o sarcină de a viza entitățile guvernamentale din India. Bazându-se pe analiza Volexity, campaniile UTA0137 par să fi fost de succes,” au continuat cercetătorii.
Malware-ul este similar multor alte uși din spate / botneturi folosite în diferite atacuri, permițând actorilor de amenințare să execute comenzi, să facă capturi de ecran, să fure fișiere, să implementeze sarcini suplimentare și să caute fișiere.
Cu toate acestea, utilizarea sa a Discord și emoji-uri ca platformă de comandă și control (C2) face ca malware-ul să iasă în evidență față de altele și ar putea să îi permită să ocolească software-ul de securitate care caută comenzi bazate pe text.
Potrivit Volexity, malware-ul a fost descoperit după ce cercetătorii au observat un executabil ELF UPX-pachetat într-un arhivă ZIP, distribuit probabil prin e-mailuri de pescuit. Volexity crede că malware-ul vizează o distribuție Linux personalizată numită BOSS pe care agențiile guvernamentale indiene o folosesc pe desktopurile lor.
Când este executat, malware-ul va descărca și afișa o capcană PDF care este un formular de beneficiar din Fondul Provident al Ofițerului Serviciului de Apărare al Indiei în caz de deces al unui ofițer.
Cu toate acestea, vor fi descărcate sarcini suplimentare în fundal, inclusiv malware-ul DISGOMOJI și un script shell numit ‘uevent_seqnum.sh’ care este folosit pentru a căuta unități USB și a fura date de pe acestea.
Când DISGOMOJI este lansat, malware-ul va exfiltra informații de sistem de pe mașină, inclusiv adresa IP, numele de utilizator, numele gazdei, sistemul de operare și directorul de lucru curent, care sunt trimise înapoi la atacatori.
Pentru a controla malware-ul, actorii de amenințare utilizează proiectul open-source de comandă și control discord-c2, care folosește Discord și emoji-uri pentru a comunica cu dispozitivele infectate și a executa comenzi.
Malware-ul se va conecta la un server Discord controlat de atacatori și va aștepta ca aceștia să tasteze emoji-uri în canal.
„DISGOMOJI ascultă mesajele noi în canalul de comandă de pe serverul Discord. Comunicarea C2 are loc folosind un protocol bazat pe emoji-uri, unde atacatorul trimite comenzi malware-ului trimitând emoji-uri în canalul de comandă, cu parametri suplimentari urmând emoji-ul acolo unde este aplicabil. În timp ce DISGOMOJI procesează o comandă, reacționează cu un emoji „Ceas” în mesajul de comandă pentru a-i spune atacatorului că comanda este în curs de procesare. Odată ce comanda este complet procesată, reacția emoji „Ceas” este eliminată și DISGOMOJI adaugă un emoji „Buton de verificare” ca reacție la mesajul de comandă pentru a confirma că comanda a fost executată,”
Nouă emoji-uri sunt folosite pentru a reprezenta comenzile de executat pe un dispozitiv infectat, care sunt enumerate mai jos.
Malware-ul menține persistența pe dispozitivul Linux folosind comanda cron @reboot pentru a executa malware-ul la pornire.
Volexity spune că au descoperit versiuni suplimentare care au utilizat alte mecanisme de persistență pentru DISGOMOJI și scriptul de furt de date USB, inclusiv intrări XDG autostart.
Odată ce un dispozitiv este compromis, actorii de amenințare își folosesc accesul pentru a se răspândi lateral, a fura date și a încerca să fure credențiale suplimentare de la utilizatorii vizati.
Deși emoji-urile ar putea părea o noutate „drăguță” pentru malware, ele ar putea permite acestuia să ocolească detectarea de către software-ul de securitate care caută în mod obișnuit comenzi malware bazate pe șiruri, făcând aceasta o abordare interesantă.
Kaspersky lansează un instrument gratuit care scanează Linux pentru amenințări cunoscute
Malware-ul botnet Ebury a infectat 400.000 de servere Linux din 2009
Ușa din spate Warmcookie pentru Windows propagată prin oferte de muncă false
Hackerii chinezi au spart 20.000 de sisteme FortiGate la nivel mondial
Versiunea de Linux a ransomware-ului TargetCompany se concentrează pe VMware ESXi
Leave a Reply