Um novo malware para Linux, chamado "DISGOMOJI", utiliza uma abordagem inovadora de empregar emojis para executar comandos em dispositivos infectados em ataques contra agências governamentais na Índia.
O malware foi descoberto pela empresa de cibersegurança Volexity, que acredita estar vinculado a um ator de ameaças baseado no Paquistão conhecido como "UTA0137".
"Em 2024, a Volexity identificou uma campanha de ciberespionagem realizada por um suspeito ator de ameaças baseado no Paquistão que a Volexity atualmente rastreia sob o codinome UTA0137", explica a Volexity.
"A Volexity avalia com alta confiança que o UTA0137 tem objetivos relacionados à espionagem e um mandato para mirar em entidades governamentais na Índia. Com base na análise da Volexity, as campanhas do UTA0137 parecem ter sido bem-sucedidas", continuaram os pesquisadores.
O malware é semelhante a muitos outros backdoors/botnets utilizados em diferentes ataques, permitindo que atores de ameaças executem comandos, capturem telas, roubem arquivos, implantem payloads adicionais e busquem por arquivos.
No entanto, seu uso do Discord e emojis como uma plataforma de comando e controle (C2) faz com que o malware se destaque dos demais e possa permitir que ele evite o software de segurança que procura por comandos baseados em texto.
De acordo com a Volexity, o malware foi descoberto após os pesquisadores encontrarem um executável ELF empacotado com UPX em um arquivo ZIP, provavelmente distribuído por meio de e-mails de phishing.
A Volexity acredita que o malware tem como alvo uma distribuição Linux personalizada chamada BOSS, que as agências governamentais indianas usam como seu desktop.
Quando executado, o malware baixará e exibirá um PDF isca que é um formulário do Fundo de Previdência do Oficial do Serviço de Defesa da Índia em caso de morte do oficial.
No entanto, payloads adicionais serão baixadas em segundo plano, incluindo o malware DISGOMOJI e um script shell chamado "uevent_seqnum.sh" que é usado para procurar drives USB e roubar dados deles.
Quando o DISGOMOJI é iniciado, o malware exfiltrará informações do sistema da máquina, incluindo endereço IP, nome de usuário, nome do host, sistema operacional e o diretório de trabalho atual, que é enviado de volta aos atacantes.
Para controlar o malware, os atores de ameaças utilizam o projeto de comando e controle de código aberto discord-c2, que usa Discord e emojis para se comunicar com dispositivos infectados e executar comandos.
O malware se conectará a um servidor Discord controlado pelo atacante e aguardará que os atores de ameaças digitem emojis no canal.
Nove emojis são usados para representar comandos a serem executados em um dispositivo infectado, que estão listados abaixo.
O malware mantém persistência no dispositivo Linux usando o comando cron @reboot para executar o malware na inicialização.
A Volexity diz que descobriu versões adicionais que utilizavam outros mecanismos de persistência para o DISGOMOJI e o script de roubo de dados via USB, incluindo entradas de autostart do XDG.
Uma vez que um dispositivo é violado, os atores de ameaças utilizam seu acesso para se espalhar lateralmente, roubar dados e tentar furtar credenciais adicionais dos usuários visados.
Embora os emojis possam parecer uma novidade "fofa" para o malware, eles poderiam permitir que ele evitasse a detecção por softwares de segurança que comumente procuram por comandos de malware baseados em strings, tornando essa uma abordagem interessante.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...