Ciberseguridad 360 | Malware de Linux manipulado por medio de emojis de Discord

Un nuevo malware para Linux apodado "DISGOMOJI" utiliza el novedoso m�todo de utilizar emojis para ejecutar comandos en dispositivos infectados en ataques contra organismos p�blicos de la India.

El malware fue descubierto por la empresa de ciberseguridad Volexity, que cree que est� vinculado a un actor de amenazas con sede en Pakist�n conocido como "UTA0137".

"En 2024, Volexity identific� una campa�a de ciberespionaje emprendida por un presunto actor de amenazas con sede en Pakist�n que Volexity actualmente rastrea bajo el alias UTA0137", explica Volexity.

"Volexity eval�a con gran confianza que UTA0137 tiene objetivos relacionados con el espionaje y el cometido de atacar entidades gubernamentales en la India. Seg�n el an�lisis de Volexity, las campa�as de UTA0137 parecen haber tenido �xito", prosiguen los investigadores.

El malware es similar a muchos otros backdoors/botnets utilizados en diferentes ataques, permitiendo a los actores de amenazas ejecutar comandos, tomar capturas de pantalla, robar archivos, desplegar cargas �tiles adicionales y buscar archivos.

Sin embargo, su uso de Discord y emojis como plataforma de mando y control (C2) hace que el malware destaque sobre los dem�s y podr�a permitirle eludir el software de seguridad que busca comandos basados en texto.

Discord y emojis como C2

Seg�n Volexity, el malware se descubri� despu�s de que los investigadores detectaran un ejecutable ELF empaquetado con UPX en un archivo ZIP, probablemente distribuido a trav�s de correos electr�nicos de phishing.

Volexity cree que el malware est� dirigido a una distribuci�n personalizada de Linux llamada BOSS que las agencias gubernamentales indias utilizan como escritorio. Sin embargo, el malware podr�a utilizarse f�cilmente en ataques contra otras distribuciones de Linux.

Una vez ejecutado, el malware descargar� y mostrar� un se�uelo en PDF que es un formulario de beneficiarios del Fondo de Previsi�n para Oficiales del Servicio de Defensa de la India en caso de fallecimiento de un oficial.

Sin embargo, en segundo plano se descargar�n otras cargas �tiles, como el malware DISGOMOJI y un script de shell llamado "uevent_seqnum.sh" que se utiliza para buscar unidades USB y robar datos de ellas.

Cuando se ejecuta DISGOMOJI, el malware extrae informaci�n del sistema de la m�quina, como la direcci�n IP, el nombre de usuario, el nombre de host, el sistema operativo y el directorio de trabajo actual, que se env�a a los atacantes.

Para controlar el malware, los actores de la amenaza utilizan el proyecto de comando y control de c�digo abierto discord-c2, que utiliza Discord y emojis para comunicarse con los dispositivos infectados y ejecutar comandos.

El malware se conectar� a un servidor de Discord controlado por el atacante y esperar� a que los actores de la amenaza escriban emojis en el canal.

"DISGOMOJI escucha nuevos mensajes en el canal de comandos del servidor Discord. La comunicaci�n C2 tiene lugar mediante un protocolo basado en emojis en el que el atacante env�a comandos al malware enviando emojis al canal de comandos, con par�metros adicionales a continuaci�n del emoji cuando procede. Mientras DISGOMOJI procesa un comando, reacciona con un emoji de "Reloj" en el mensaje de comando para informar al atacante de que el comando se est� procesando. Una vez que el comando est� completamente procesado, la reacci�n del emoji "Reloj" se elimina y DISGOMOJI a�ade un emoji "Bot�n de marca de verificaci�n" como reacci�n al mensaje de comando para confirmar que el comando se ha ejecutado."

? Volexity

Se utilizan nueve emojis para representar comandos a ejecutar en un dispositivo infectado, que se enumeran a continuaci�n.

El malware mantiene la persistencia en el dispositivo Linux utilizando el comando cron @reboot para ejecutar el malware en el arranque.

Volexity dice que descubri� versiones adicionales que utilizaban otros mecanismos de persistencia para DISGOMOJI y el script de robo de datos USB, incluyendo entradas de autoarranque XDG.

Una vez que un dispositivo es violado, los actores de la amenaza utilizan su acceso para propagarse lateralmente, robar datos e intentar robar credenciales adicionales de los usuarios objetivo.

Aunque los emojis pueden parecer una novedad "simp�tica" para el malware, podr�an permitirle eludir la detecci�n por parte del software de seguridad que suele buscar comandos de malware basados en cadenas, lo que hace que este enfoque sea interesante.

Fuente: bleepingcomputer