Los hackers están utilizando emojis de Discord para comandar malware de Linux

La firma de ciberseguridad Volexity ha identificado recientemente una campaña de marketing de ciberespionaje dirigida a agencias gubernamentales indias en 2024 utilizando un malware de Linux personalizado.

El nuevo malware de Linux descubierto, DISGOMOJI, ha sido atribuido a un actor de amenazas con sede en Pakistán conocido como UTA0137. Está escrito en Golang y compilado para sistemas Linux.

“En 2024, Volexity identificó una campaña de ciberespionaje llevada a cabo por un actor de amenazas sospechoso con sede en Pakistán que Volexity actualmente rastrea bajo el alias UTA0137”, explica Volexity en una publicación de blog.

“Volexity evalúa con alta confianza que UTA0137 tiene objetivos relacionados con el espionaje y un mandato para atacar entidades gubernamentales en India. Basado en el análisis de Volexity, las campañas de UTA0137 parecen haber tenido éxito.”

DISGOMOJI es una versión modificada del proyecto público Discord-C2, que utiliza el servicio de mensajería Discord para operaciones de comando y control (C2), haciendo uso de emojis para su comunicación C2.

El malware solo ataca sistemas Linux, específicamente entidades gubernamentales en India, que utilizan una distribución de Linux personalizada llamada BOSS como su escritorio diario.

Este malware es la misma herramienta de espionaje “todo en uno” que Blackberry mencionó en una publicación de blog de mayo de 2024 utilizada por el actor Transparent Tribe, un grupo de amenazas con sede en Pakistán para atacar al gobierno indio, los sectores de Defensa y Aeroespacial.

Volexity también descubrió que UTA0137 utilizó exploits de escalada de privilegios DirtyPipe (CVE-2022-0847) contra sistemas vulnerables “BOSS 9”.

La cadena de infección comenzó con un ELF empaquetado con UPX escrito en Golang y entregado dentro de un archivo ZIP. Este ELF descargó un archivo de señuelo benigno, DSOP.pdf, que es el acrónimo del Fondo de Previsión del Oficial del Servicio de Defensa de India, para engañar a la víctima.

El malware luego descarga la carga útil de siguiente etapa, llamada vmcoreinfo, desde un servidor remoto, clawsindia[.]in., que se coloca en una carpeta oculta llamada .x86_64-linux-gnu en el sistema del usuario.

Una vez iniciado, DISGOMOJI envía un mensaje de registro en el canal que contiene la información de la víctima, como la IP interna, el nombre de usuario, el nombre del host, el sistema operativo y el directorio de trabajo actual. Mantiene la persistencia y puede sobrevivir a reinicios del sistema.

DISGOMOJI preserva la persistencia en el sistema utilizando trabajos cron y puede sobrevivir a reinicios del sistema.

Sin embargo, cargas útiles adicionales se descargarán en segundo plano, incluyendo el malware DISGOMOJI y un script llamado uevent_seqnum.sh que se utiliza para verificar si hay dispositivos USB conectados y, de ser así, robar datos de ellos para que el atacante pueda recuperarlos más tarde.

“DISGOMOJI escucha nuevos mensajes en el canal de comando en el servidor de Discord. La comunicación C2 se lleva a cabo utilizando un protocolo basado en emojis donde el atacante envía comandos al malware enviando emojis al canal de comando, con parámetros adicionales siguiendo el emoji donde sea aplicable”, continuó Volexity.

Mientras DISGOMOJI está procesando un comando, reacciona con un emoji de “Reloj” en el mensaje de comando para hacer saber al atacante que el comando está siendo procesado.

Una vez que el comando se ha procesado completamente, se elimina la reacción de “Reloj” y DISGOMOJI agrega un emoji de “Botón de Marca de Verificación” como reacción al mensaje de comando para confirmar que el comando fue ejecutado.”

Nueve comandos de emoji diferentes están disponibles para el atacante que se pueden ejecutar en un dispositivo infectado:

El análisis de Volexity reveló que UTA0137 también ha estado utilizando herramientas legítimas y de código abierto después de la infección, que incluyen escaneo de red con Nmap, túneles de red con Chisel y Ligolo, y herramientas de etapa y exfiltración de datos utilizando servicios de intercambio de archivos como oshi[.]at.

Otra actividad posterior a la explotación es el uso de la utilidad Zenity por parte de UTA0137 para mostrar cuadros de diálogo maliciosos y engañar socialmente a los usuarios para que entreguen sus contraseñas.

“El atacante logró infectar con éxito a un número de víctimas con su malware de Golang, DISGOMOJI. UTA0137 ha mejorado DISGOMOJI con el tiempo”, dijo la firma de ciberseguridad.

Volexity agrega que DISGOMOJI tiene capacidades de exfiltración que apoyan un motivo de espionaje, incluyendo comandos convenientes para robar datos del navegador del usuario y documentos y para exfiltrar datos.

También atribuye esta actividad maliciosa a un actor de amenazas con sede en Pakistán “con confianza moderada” basada en patrones de ataque y artefactos codificados, particularmente dirigidos a entidades gubernamentales indias.