Το νέο DISGOMOJI malware ελέγχεται μέσω emoji από το Discord

An νέο Linux malware που ανακαλύφθηκε με την ονομασία «DISGOMOJI», χρησιμοποιεί μία νέα προσέγγιση χρήσης emoji για την εκτέλεση εντολών σε μολυσμένες Devices, σε επιθέσεις εναντίον κυβερνητικών υπηρεσιών στην Ινδία.

Το κακόβουλο λογισμικό ανακαλύφθηκε από την εταιρεία κυβερνοασφάλειας Volexity, η οποία πιστεύει ότι συνδέεται με έναν κακόβουλο παράγοντα με έδρα το Πακιστάν, γνωστό ως «UTA0137".

Το DISGOMOJI malware είναι παρόμοιο με πολλά άλλα backdoors/botnets που χρησιμοποιούνται σε διαφορετικές attacks, επιτρέποντας στους παράγοντες απειλών να εκτελούν εντολές, να λαμβάνουν στιγμιότυπα οθόνης, να κλέβουν αρχεία, να αναπτύσσουν επιπλέον ωφέλιμα φορτία και να αναζητούν αρχεία.

Ωστόσο, η χρήση του Discord και των emoji ως πλατφόρμα εντολών και ελέγχου (C2) κάνει το κακόβουλο λογισμικό να ξεχωρίζει από άλλα και θα μπορούσε να του επιτρέψει να παρακάμψει το λογισμικό ασφαλείας που αναζητά εντολές που βασίζονται σε κείμενο.

Discord και emojis ως C2

Σύμφωνα με τη Volexity, το DISGOMOJI malware ανακαλύφθηκε αφού οι ερευνητές εντόπισαν ένα εκτελέσιμο ELF γεμάτο UPX σε ένα αρχείο ZIP, το οποίο πιθανότατα διανεμήθηκε μέσω email ηλεκτρονικού phishing.

Η Volexity πιστεύει ότι το malware στοχεύει μια προσαρμοσμένη διανομή Linux που ονομάζεται BOSS που χρησιμοποιούν οι ινδικές κυβερνητικές υπηρεσίες ως επιφάνεια εργασίας τους. Ωστόσο, το κακόβουλο λογισμικό θα μπορούσε εξίσου εύκολα να χρησιμοποιηθεί σε επιθέσεις εναντίον άλλων διανομών Linux.

Όταν εκτελεστεί, το DISGOMOJI malware θα κατεβάσει και θα εμφανίσει ένα δέλεαρ PDF που είναι μια φόρμα δικαιούχου από το Ταμείο Προνοίας Αξιωματικών Υπηρεσιών Άμυνας της Ινδίας σε περίπτωση θανάτου ενός αξιωματικού.

Ωστόσο, θα γίνει λήψη πρόσθετων ωφέλιμων φορτίων στο παρασκήνιο, συμπεριλαμβανομένου του κακόβουλου λογισμικού DISGOMOJI και ενός σεναρίου με το όνομα “uevent_seqnum.sh” που χρησιμοποιείται για την αναζήτηση μονάδων USB και την κλοπή δεδομένων από αυτές.

Κατά την εκκίνηση του DISGOMOJI, το κακόβουλο λογισμικό θα εξαγάγει πληροφορίες συστήματος από το μηχάνημα, συμπεριλαμβανομένης της διεύθυνσης IP, του ονόματος χρήστη, του ονόματος κεντρικού Computer, του λειτουργικού συστήματος και του τρέχοντος καταλόγου εργασίας, ο οποίος αποστέλλεται πίσω στους εισβολείς.

Για τον έλεγχο του κακόβουλου λογισμικού, οι φορείς απειλών χρησιμοποιούν την εντολή και έλεγχο του έργου discord-c2 ανοιχτού κώδικα, η οποία χρησιμοποιεί Discord και emojis για να επικοινωνεί με μολυσμένες συσκευές και να εκτελεί εντολές.

Το DISGOMOJI malware θα συνδεθεί σε έναν διακομιστή Discord που ελέγχεται από τους intruders και θα περιμένει τους κακόβουλους παράγοντες να πληκτρολογήσουν emojis στο κανάλι. Εννέα emoji χρησιμοποιούνται για την αναπαράσταση εντολών που πρέπει να εκτελεστούν σε μια μολυσμένη συσκευή.

Το κακόβουλο λογισμικό διατηρεί την επιμονή στη Device Linux χρησιμοποιώντας την εντολή @reboot cron για την εκτέλεση του κακόβουλου λογισμικού κατά την εκκίνηση. Η Volexity λέει ότι ανακάλυψε πρόσθετες εκδόσεις που χρησιμοποίησαν άλλους μηχανισμούς επιμονής για το DISGOMOJI και το σενάριο κλοπής δεδομένων USB, συμπεριλαμβανομένων των εγγραφών αυτόματης εκκίνησης XDG.

Το malware, όπως το νέο DISGOMOJI, έχει σχεδιαστεί για να διεισδύει, to damage or to disables υπολογιστές, δίκτυα ή άλλες ηλεκτρονικές συσκευές. Είναι μια διαδεδομένη απειλή στον ψηφιακό κόσμο, ικανή να προκαλέσει σημαντική βλάβη τόσο σε άτομα όσο και σε οργανισμούς. Οι τύποι κακόβουλου λογισμικού περιλαμβάνουν ιούς, worms, trojans, ransomware, spyware, adware και άλλα. Αυτά τα κακόβουλα προγράμματα μπορούν να υποκλέψουν ευαίσθητες πληροφορίες, να καταστρέψουν αρχεία, να παρακολουθήσουν τη δραστηριότητα των χρηστών και ακόμη και να πάρουν τον έλεγχο ενός ολόκληρου συστήματος. Για προστασία από κακόβουλο λογισμικό, είναι σημαντικό να χρησιμοποιείτε reliable antivirus software, να διατηρείτε τα συστήματα ενημερωμένα και να ασκείτε προσεκτική διαδικτυακή συμπεριφορά, όπως να μην κάνετε κλικ σε ύποπτους συνδέσμους ή να κάνετε λήψη άγνωστων συνημμένων.

Source: bleepingcomputer