Kiberbiztonsági szakértők lelepleztek egy új, DISGOMOJI névre keresztelt Linux malware-t, amelyet emojik segítségével irányítanak. A kártékony programot indiai kormányzati ügynökségek ellen vetették be, célja pedig kémkedés volt.
A Volexity kiberbiztonsági cég szerint a malware-t az UTA0137 néven ismert pakisztáni hackercsoport hozta létre. A DISGOMOJI számos funkcióval rendelkezik, beleértve a parancsok végrehajtását, képernyőképek készítését, fájlok keresését és ellopását, valamint további kártékony programok telepítését.
Ami igazán egyedivé teszi ezt a malware-t, az az, hogy a támadók Discord emojik segítségével kommunikálnak vele, megkerülve ezzel a szövegalapú parancsokat figyelő biztonsági szoftvereket. A DISGOMOJI a Linux BOSS disztribúcióját célozza, amelyet az indiai kormányzati szervek használnak, de más Linux rendszereken is működőképes lehet.
A malware terjesztése valószínűleg phishing emaileken keresztül történik. A fertőzött gépeken a DISGOMOJI rendszerinformációkat gyűjt, majd ezeket továbbítja a támadóknak. A hackerek ezután a Discord-C2 nyílt forráskódú projektet használják, amely Discord emojik segítségével vezérli a fertőzött eszközöket.
A kutatók kilenc különböző emojit azonosítottak, amelyek mindegyike más-más parancsot képvisel, például parancsok végrehajtását, képernyőképek készítését, fájlok letöltését és feltöltését, valamint a malware leállítását.
A Volexity szakértői szerint a támadók a DISGOMOJI segítségével adatokat loptak és hitelesítő adatokat próbáltak gyűjteni az áldozatoktól. A kutatók további verziókat is felfedeztek a malware-ből, amelyek más módszerekkel biztosították a DISGOMOJI és az USB adathalász szkript perzisztenciáját.
Kilenc emojit használnak a fertőzött eszközön végrehajtandó parancsok ábrázolására:
🏃: Parancs végrehajtása az áldozat eszközén. Egy argumentumot vár, amely a lefuttatandó parancs lesz.
📸: Screenshot készítése az áldozat képernyőjéről és feltöltése a parancs csatornára mint csatolmány.
👇: Fájlok letöltése az áldozat eszközéről és feltöltésük a parancs csatornára mint csatolmány. Az argumentum a fájl útja lesz.
👆: Fájlok feltöltése az áldozat eszközére. A feltöltendő fájl csatolva van ehhez az emojihoz.
👉: Fájl feltöltése az Oshi-ba (oshi[.]at – távoli fájl-tároló szolgáltatás) az áldozat számítógépéről. Az argumentet a feltöltendő fájl neve lesz.
👈: Fájl feltöltése a transfer[.]sh-ba (távoli fájlmegosztó szolgáltatás) az áldozat számítógépéről. Az argumentet a feltöltendő fájl neve lesz.
🔥: Keresse meg és küldje el az összes olyan fájlt az áldozat számítógépéről, amely megfelel egy előre meghatározott kiterjesztési listának. A következő kiterjesztésű fájlok már kiszivárogtatásra kerültek: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS, ZIP.
🦊: Zipeljen minden Firefox profilt az áldozat eszközén. Ezeket a fájlokat a támadó később is elérheti.
💀: A malware leállítása az os.Exit() futtatásával.
