A empresa de cibersegurança Volexity identificou um malware para Linux que pode ser controlado remotamente por Discord — ele se conecta a um servidor da plataforma e recebe ordens por lá, “escondidas” em emojis. A estratégia incomum ajuda os atacantes a driblarem softwares de segurança, que geralmente monitoram apenas comandos em texto.
O malware foi batizado como Disgomoji. Suspeita-se que ele esteja ligado a um grupo chamado UTA0137, com atividades baseadas no Paquistão. Segundo a Volexity, o Disgomoji foi usado em uma campanha de espionagem direcionada a entidades governamentais indianas.
O malware é distribuído de forma bem tradicional, como um arquivo executável em um .zip, provavelmente enviado em emails de phishing. Ao ser aberto, mostra um PDF inofensivo, de formulário do próprio governo indiano. Enquanto isso, ele baixa pacotes adicionais e toma controle da máquina.
Segundo a Volexity, o Disgomoji tem como alvo uma distribuição de Linux chamada Boss. Ela é customizada e usada pelo governo indiano. Mesmo assim, o malware teria potencial para infectar outras variantes do sistema. Ele apresenta persistência (isto é, pode ser executado novamente após o usuário reiniciar o computador) e envia informações como endereço de IP e nome de usuário para os atacantes.
Canal do Discord serve como controle remoto para malware
Após se instalar na máquina, o malware se conecta a um servidor do Discord controlado pelo atacante. Por lá, é possível executar comandos usando emojis, usando o projeto de código aberto discord-c2. O malware até mesmo usa uma reação à mensagem para indicar que a ordem foi realizada com sucesso.
Entre os emojis usados, estão o de homem correndo (para executar comandos, ou seja, “run”), câmera com flash (tira printscreen da tela da vítima) e mãos apontando para quatro direções (para baixar ou fazer upload de arquivos).
Os emojis seriam uma forma de driblar softwares de cibersegurança, mais acostumados a procurar por comandos em sequências de texto. Com isso, os atacantes ficam livres para monitorar e roubar arquivos do computador contaminado, além de se espalhar lateralmente e entrar em outras máquinas da mesma rede.
Com informações: Bleeping Computer
Source link