Hackers Estão Usando Emojis do Discord Para Comandar Malware Linux

A empresa de cibersegurança Volexity identificou recentemente uma campanha de marketing de ciberespionagem visando agências governamentais indianas em 2024 usando um malware Linux personalizado.

O malware Linux recém-descoberto, DISGOMOJI, foi atribuído a um ator de ameaça baseado no Paquistão conhecido como UTA0137. Ele é escrito em Golang e compilado para sistemas Linux.

“Em 2024, a Volexity identificou uma campanha de ciberespionagem realizada por um ator de ameaça suspeito baseado no Paquistão que a Volexity atualmente rastreia sob o pseudônimo UTA0137,” explica a Volexity em um post no blog.

“A Volexity avalia com alta confiança que UTA0137 tem objetivos relacionados à espionagem e um mandato para atacar entidades governamentais na Índia. Com base na análise da Volexity, as campanhas de UTA0137 parecem ter sido bem-sucedidas.”

DISGOMOJI é uma versão modificada do projeto público Discord-C2, que utiliza o serviço de mensagens Discord para operações de comando e controle (C2), fazendo uso de emojis para sua comunicação C2.

O malware só ataca sistemas Linux, especificamente entidades governamentais na Índia, que usam uma distribuição Linux personalizada chamada BOSS como seu desktop diário.

Esse malware é a mesma ferramenta de espionagem “tudo-em-um” que a Blackberry mencionou em um post no blog de maio de 2024, usada pelo ator Transparent Tribe, um grupo de ameaça baseado no Paquistão para atacar o governo indiano, setores de Defesa e Aeroespacial.

A Volexity também descobriu que UTA0137 usou exploits de escalonamento de privilégios DirtyPipe (CVE-2022-0847) contra sistemas vulneráveis “BOSS 9”.

A cadeia de infecção começou com um ELF compactado com UPX escrito em Golang e entregue dentro de um arquivo ZIP. Este ELF baixou um arquivo de isca benigno, DSOP.pdf, que é o acrônimo para o Fundo de Previdência do Oficial de Serviço de Defesa da Índia, para enganar a vítima.

O malware então baixa a carga útil da próxima fase, chamada vmcoreinfo, de um servidor remoto, clawsindia[.]in., que é colocado em uma pasta oculta chamada .x86_64-linux-gnu no sistema do usuário.

Uma vez iniciado, DISGOMOJI envia uma mensagem de check-in no canal contendo as informações da vítima, como o IP interno, nome de usuário, nome do host, sistema operacional e diretório de trabalho atual. Ele mantém persistência e pode sobreviver a reinicializações do sistema.

DISGOMOJI preserva a persistência no sistema usando jobs cron e pode sobreviver a reinicializações do sistema.

No entanto, cargas adicionais serão baixadas em segundo plano, incluindo o malware DISGOMOJI e um script chamado uevent_seqnum.sh que é usado para verificar se algum dispositivo USB está conectado e, se sim, roubar dados deles para que o atacante possa recuperá-los mais tarde.

“DISGOMOJI escuta novas mensagens no canal de comando no servidor Discord. A comunicação C2 ocorre usando um protocolo baseado em emojis onde o atacante envia comandos para o malware enviando emojis para o canal de comando, com parâmetros adicionais seguindo o emoji quando aplicável,” continuou a Volexity.

Enquanto DISGOMOJI está processando um comando, ele reage com um emoji de “Relógio” na mensagem de comando para informar ao atacante que o comando está sendo processado.

Uma vez que o comando é totalmente processado, a reação do emoji de “Relógio” é removida e DISGOMOJI adiciona um emoji de “Botão de Marca de Verificação” como uma reação à mensagem de comando para confirmar que o comando foi executado.”

Nove comandos de emoji diferentes estão disponíveis para o atacante que podem ser executados em um dispositivo infectado:

A análise da Volexity revelou que UTA0137 também tem usado ferramentas legítimas e de código aberto pós-infecção, que incluem varredura de rede com Nmap, tunelamento de rede com Chisel e Ligolo, e ferramentas de estágio e exfiltração de dados usando serviços de compartilhamento de arquivos como oshi[.]at.

Outra atividade pós-exploração é o uso da utilidade Zenity por UTA0137 para exibir caixas de diálogo maliciosas e enganar socialmente os usuários a desistirem de suas senhas.

“O atacante conseguiu infectar com sucesso um número de vítimas com seu malware em Golang, DISGOMOJI. UTA0137 melhorou o DISGOMOJI ao longo do tempo,” disse a empresa de cibersegurança.

A Volexity acrescenta que o DISGOMOJI tem capacidades de exfiltração que apoiam um motivo de espionagem, incluindo comandos convenientes para roubar dados do navegador do usuário e documentos e para exfiltrar dados.

Ela também atribui essa atividade maliciosa a um ator de ameaça baseado no Paquistão “com confiança moderada” com base em padrões de ataque e artefatos codificados, particularmente visando entidades governamentais indianas.