Novo malware para Linux
17 de Junho de 2024

Um novo malware para Linux, chamado "DISGOMOJI", utiliza uma abordagem inovadora de empregar emojis para executar comandos em dispositivos infectados em ataques contra agências governamentais na Índia.

O malware foi descoberto pela empresa de cibersegurança Volexity, que acredita estar vinculado a um ator de ameaças baseado no Paquistão conhecido como "UTA0137".

"Em 2024, a Volexity identificou uma campanha de ciberespionagem realizada por um suspeito ator de ameaças baseado no Paquistão que a Volexity atualmente rastreia sob o codinome UTA0137", explica a Volexity.

"A Volexity avalia com alta confiança que o UTA0137 tem objetivos relacionados à espionagem e um mandato para mirar em entidades governamentais na Índia. Com base na análise da Volexity, as campanhas do UTA0137 parecem ter sido bem-sucedidas", continuaram os pesquisadores.

O malware é semelhante a muitos outros backdoors/botnets utilizados em diferentes ataques, permitindo que atores de ameaças executem comandos, capturem telas, roubem arquivos, implantem payloads adicionais e busquem por arquivos.

No entanto, seu uso do Discord e emojis como uma plataforma de comando e controle (C2) faz com que o malware se destaque dos demais e possa permitir que ele evite o software de segurança que procura por comandos baseados em texto.

De acordo com a Volexity, o malware foi descoberto após os pesquisadores encontrarem um executável ELF empacotado com UPX em um arquivo ZIP, provavelmente distribuído por meio de e-mails de phishing.

A Volexity acredita que o malware tem como alvo uma distribuição Linux personalizada chamada BOSS, que as agências governamentais indianas usam como seu desktop.

Quando executado, o malware baixará e exibirá um PDF isca que é um formulário do Fundo de Previdência do Oficial do Serviço de Defesa da Índia em caso de morte do oficial.

No entanto, payloads adicionais serão baixadas em segundo plano, incluindo o malware DISGOMOJI e um script shell chamado "uevent_seqnum.sh" que é usado para procurar drives USB e roubar dados deles.

Quando o DISGOMOJI é iniciado, o malware exfiltrará informações do sistema da máquina, incluindo endereço IP, nome de usuário, nome do host, sistema operacional e o diretório de trabalho atual, que é enviado de volta aos atacantes.

Para controlar o malware, os atores de ameaças utilizam o projeto de comando e controle de código aberto discord-c2, que usa Discord e emojis para se comunicar com dispositivos infectados e executar comandos.

O malware se conectará a um servidor Discord controlado pelo atacante e aguardará que os atores de ameaças digitem emojis no canal.

Nove emojis são usados para representar comandos a serem executados em um dispositivo infectado, que estão listados abaixo.

O malware mantém persistência no dispositivo Linux usando o comando cron @reboot para executar o malware na inicialização.

A Volexity diz que descobriu versões adicionais que utilizavam outros mecanismos de persistência para o DISGOMOJI e o script de roubo de dados via USB, incluindo entradas de autostart do XDG.

Uma vez que um dispositivo é violado, os atores de ameaças utilizam seu acesso para se espalhar lateralmente, roubar dados e tentar furtar credenciais adicionais dos usuários visados.

Embora os emojis possam parecer uma novidade "fofa" para o malware, eles poderiam permitir que ele evitasse a detecção por softwares de segurança que comumente procuram por comandos de malware baseados em strings, tornando essa uma abordagem interessante.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...