.
Muitas vezes parece que depois de ler sobre um tipo de malware, você já ouviu falar da maioria. Mas então um operador de malware começa a usar emojis para se comunicar com seus dispositivos infectados, e você tem que prestar atenção.
Descoberto pela primeira vez pela empresa de pesquisa de segurança Volexity, o malware DISGOMOJI tem um identificador exclusivo: ele usa emojis Discord para executar comandos em dispositivos infectados.
O que é o malware DISGOMOJI?
A Volexity descobriu o malware DISGOMOJI em junho de 2024, vinculando-o a um grupo baseado no Paquistão rastreado como UTA0137.
O malware tem como alvo dispositivos Linux usando a distribuição BOSS, usada principalmente por agências governamentais indianas. Teoricamente, porém, ele poderia ser usado contra qualquer distribuição Linux e é escrito na linguagem de programação adaptável Golang.
No entanto, a parte mais interessante do DISCOMOJI é o uso de emojis do Discord para controlar dispositivos infectados. Em vez de enviar comandos usando palavras, como você encontra na maioria dos malwares, o operador do DISCOMOJI pode enviar um emoji específico do Discord para solicitar uma ação.
Como funciona o malware controlado por Emoji?
Primeiro, o malware precisa ser instalado para que o invasor obtenha controle do dispositivo alvo. O dispositivo alvo recebe um documento falso contendo o arquivo malicioso, que, quando executado, baixa o malware DISCOMOJI. Quando iniciado, o DISCOMOJI rouba dados da máquina alvo, como suas informações locais, nomes de usuário, nome do host, o diretório em que o malware está instalado e dados de quaisquer dispositivos USB conectados.
Em seguida, o malware se conecta a um servidor Discord controlado pelo invasor, ligando para casa para aguardar novas instruções. Os invasores usam algo chamado discord-c2, um projeto de comando e controle de código aberto que usa o Discord como ponto de controle para dispositivos infectados. Depois que o malware se conecta ao servidor Discord, o invasor pode usar uma variedade de emojis para acionar o malware, com uma série de parâmetros diferentes disponíveis.
Os emojis de malware do Discord estão resumidos abaixo:
|
Emoji |
Nome do emoji |
Descrição do comando |
|---|---|---|
|
|
Homem correndo |
Execute um comando no dispositivo da vítima. Este comando recebe um argumento, que é o comando a ser executado. |
|
|
Câmera com Flash |
Faça uma captura de tela da tela da vítima e carregue-a no canal de comando como um anexo. |
|
|
Índice do dorso da mão apontando para baixo |
Baixe arquivos do dispositivo da vítima e carregue-os no canal de comando como anexos. Este comando recebe um argumento, que é o caminho do arquivo. |
|
|
Índice apontando para cima |
Carregue um arquivo no dispositivo da vítima. O arquivo para upload está anexado junto com este emoji. |
|
|
Índice do dorso da mão apontando para a direita |
Carregue um arquivo do dispositivo da vítima para Oshi ( |
|
|
Índice de backhand apontando para a esquerda |
Carregue um arquivo do dispositivo da vítima para |
|
|
Fogo |
Encontre e envie todos os arquivos que correspondem a uma lista de extensões predefinida que estão presentes no dispositivo da vítima. Arquivos com as seguintes extensões são exfiltrados: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS, ZIP |
|
|
Raposa |
Compacte todos os perfis do Firefox no dispositivo da vítima. Esses arquivos podem ser recuperados pelo invasor posteriormente. |
|
|
Crânio |
Encerre o processo de malware usando |
É fofo, mas estranho pensar que os emojis que você usa todos os dias estão sendo usados para controlar malware.
Existe algum sentido em malware controlado por Emoji?
Além de torná-lo mais fácil de usar, o uso de emojis para comando e comunicação pode ajudar o malware a permanecer indetectado por mais tempo. Certamente, o Discord pode ter dificuldades para detectar que seus servidores estão sendo usados para executar um projeto C2 malicioso se tudo o que ele fizer for enviar emojis comumente usados.
A forma como os tokens do Discord são gerenciados pelo malware torna mais difícil para o Discord agir contra os servidores do invasor, já que a configuração do cliente pode simplesmente ser atualizada pelo invasor quando necessário.
Então, se persistência é o nome do jogo, usar emojis pode ser útil.
Quanto a se manter seguro, esse malware tem como alvo principal uma distribuição Linux específica usada em agências do governo indiano, o que significa que a maioria das pessoas comuns não tem nada com que se preocupar. Ainda assim, sempre mantenha seus dispositivos atualizados, pois você nunca sabe qual ameaça pode aparecer em seguida.
.
