Um novo malware Linux apelidado de DISGOMOJI, usa a nova abordagem de utilizar emojis para executar comandos em dispositivos infectados em ataques a agências governamentais na Índia.
Novo malware Linux
O malware foi descoberto pela empresa de segurança cibernética Volexity, que acredita estar ligado a um ator de ameaça baseado no Paquistão conhecido como UTA0137. De acordo com a Volexity, em 2024, a empresa identificou uma campanha de ciberespionagem realizada por um suposto ator de ameaça baseado no Paquistão que a Volexity atualmente rastreia sob o pseudônimo UTA0137.
A Volexity avalia com grande confiança que o UTA0137 tem objetivos relacionados à espionagem e uma missão de atingir entidades governamentais na Índia. Com base na análise da Volexity, as campanhas do UTA0137 parecem ter sido bem-sucedidas.
O malware é semelhante a muitos outros backdoors/botnets usados em diferentes ataques, permitindo que os agentes da ameaça executem comandos, façam capturas de tela, roubem arquivos, implantem cargas adicionais e procurem arquivos. No entanto, o uso do Discord e dos emojis como plataforma de comando e controle (C2) faz com que o malware se destaque dos outros e pode permitir que ele contorne o software de segurança que procura comandos baseados em texto.
Discord e emojis como C2
De acordo com a Volexity, o malware foi descoberto depois que os pesquisadores detectaram um executável ELF compactado em UPX em um arquivo ZIP, provavelmente distribuído por meio de e-mails de phishing. A empresa acredita que o malware tem como alvo uma distribuição Linux personalizada chamada BOSS, que as agências governamentais indianas usam como desktop. No entanto, o malware poderia facilmente ser usado em ataques contra outras distribuições Linux.
Quando executado, o malware baixará e exibirá uma isca em PDF que é um formulário de beneficiário do Fundo de Previdência para Oficiais do Serviço de Defesa da Índia em caso de morte de um oficial. No entanto, cargas adicionais serão baixadas em segundo plano, incluindo o malware DISGOMOJI e um script de shell chamado ‘uevent_seqnum.sh’ que é usado para procurar unidades USB e roubar dados delas.
Notícias Relacionadas
A ação do malware
Quando o DISGOMOJI é iniciado, o malware exfiltra informações do sistema da máquina, incluindo endereço IP, nome de usuário, nome do host, sistema operacional e o diretório de trabalho atual, que são enviadas de volta aos invasores.
Para controlar o malware, os agentes da ameaça utilizam o projeto de comando e controle de código aberto discord-c2, que usa Discord e emojis para se comunicar com dispositivos infectados e executar comandos.
O malware se conectará a um servidor Discord controlado pelo invasor e aguardará que os agentes da ameaça digitem emojis no canal. Nove emojis são usados para representar comandos a serem executados em um dispositivo infectado, listados abaixo.
O malware mantém persistência no dispositivo Linux usando o comando cron @reboot para executar o malware na inicialização.
A Volexity afirma ter descoberto versões adicionais que utilizavam outros mecanismos de persistência para DISGOMOJI e o script de roubo de dados USB, incluindo entradas de inicialização automática XDG. Depois que um dispositivo é violado, os agentes da ameaça utilizam seu acesso para se espalhar lateralmente, roubar dados e tentar roubar credenciais adicionais dos usuários-alvo.
Embora os emojis possam parecer uma novidade “fofa” para o malware, eles podem permitir que ele contorne a detecção por software de segurança que normalmente procura comandos de malware baseados em strings, tornando esta uma abordagem interessante, lembra o Bleeping Computer.
