Un malware recientemente descubierto en Linux, llamado 'DISGOMOJI', utiliza un enfoque novedoso al emplear emojis para ejecutar comandos en dispositivos infectados durante ataques a agencias gubernamentales en India.
Descubrimiento y Origen del Malware
El malware fue identificado por la firma de ciberseguridad Volexity, la cual cree que está vinculado a un actor de amenazas con sede en Pakistán conocido como 'UTA0137'.
"En 2024, Volexity identificó una campaña de ciberespionaje llevada a cabo por un presunto actor de amenazas con sede en Pakistán que Volexity rastrea actualmente bajo el alias UTA0137", explica Volexity.
"Volexity evalúa con alta confianza que UTA0137 tiene objetivos relacionados con el espionaje y un mandato para atacar entidades gubernamentales en India. Según el análisis de Volexity, las campañas de UTA0137 parecen haber sido exitosas", continuaron los investigadores.
Características y Funcionamiento del Malware
El malware es similar a muchos otros backdoors/botnets utilizados en diferentes ataques, permitiendo a los actores de amenazas ejecutar comandos, tomar capturas de pantalla, robar archivos, desplegar cargas útiles adicionales y buscar archivos.
Sin embargo, su uso de Discord y emojis como plataforma de comando y control (C2) lo distingue de otros y podría permitirle evadir el software de seguridad que busca comandos basados en texto.
Uso de Discord y Emojis como Plataforma de C2
Según Volexity, el malware fue descubierto después de que los investigadores detectaran un ejecutable ELF empaquetado con UPX en un archivo ZIP, probablemente distribuido a través de correos electrónicos de phishing.
Volexity cree que el malware apunta a una distribución de Linux personalizada llamada BOSS que las agencias gubernamentales indias utilizan como su escritorio. Sin embargo, el malware podría ser utilizado en ataques contra otras distribuciones de Linux.
Al ejecutarse, el malware descargará y mostrará un PDF señuelo que es un formulario de beneficiarios del Fondo de Previsión de Oficiales de Servicios de Defensa de la India en caso de la muerte de un oficial.
Sin embargo, se descargarán cargas útiles adicionales en segundo plano, incluyendo el malware DISGOMOJI y un script de shell llamado 'uevent_seqnum.sh' que se utiliza para buscar unidades USB y robar datos de ellas.
Comunicación y Control del Malware
Cuando se lanza DISGOMOJI, el malware exfiltrará información del sistema desde la máquina, incluyendo dirección IP, nombre de usuario, nombre de host, sistema operativo y el directorio de trabajo actual, que se envía de vuelta a los atacantes.
Para controlar el malware, los actores de amenazas utilizan el proyecto de comando y control de código abierto discord-c2, que usa Discord y emojis para comunicarse con los dispositivos infectados y ejecutar comandos.
El malware se conectará a un servidor de Discord controlado por los atacantes y esperará a que los actores de amenazas escriban emojis en el canal.
"DISGOMOJI escucha nuevos mensajes en el canal de comandos en el servidor de Discord. La comunicación C2 se lleva a cabo utilizando un protocolo basado en emojis donde el atacante envía comandos al malware enviando emojis al canal de comandos, con parámetros adicionales siguiendo el emoji cuando sea aplicable. Mientras DISGOMOJI procesa un comando, reacciona con un emoji de “Reloj” en el mensaje de comando para informar al atacante que el comando está siendo procesado. Una vez que el comando se ha procesado por completo, la reacción del emoji de “Reloj” se elimina y DISGOMOJI agrega un emoji de “Botón de Marca de Verificación” como una reacción al mensaje de comando para confirmar que el comando se ejecutó."
Persistencia y Propagación
Volexity afirma que descubrieron versiones adicionales que utilizaron otros mecanismos de persistencia para DISGOMOJI y el script de robo de datos USB, incluyendo entradas de inicio automático XDG.
Una vez que un dispositivo es vulnerado, los actores de amenazas utilizan su acceso para propagarse lateralmente, robar datos y tratar de robar credenciales adicionales de los usuarios objetivo.
Finalmente, aunque los emojis pueden parecer una novedad "linda" en el malware, podrían permitir que pase desapercibido por el software de seguridad que comúnmente busca comandos de malware basados en texto, haciendo de este un enfoque interesante.
Fuente: somoslibres