Os cibercriminosos estão maximizando sua eficiência ao se comunicar com servidores de comando e controle. Ao invés de digitar os comandos, eles estão usando emojis como o “câmera com flash” (que tira um print/captura a tela do dispositivo da vítima).
Já o emoji de raposa (“fox”, em inglês), por exemplo, compacta todos os perfis do Firefox do usuário em um arquivo zip. Por sua vez, o “dedo apontando” exfiltra arquivos para servidores maliciosos, enquanto o emoji de caveira finaliza o processo de malware.
Os hackers modificaram o serviço de mensagem do Discord para usá-lo para fins de comando e controle (C2), conforme descoberta dos pesquisadores da Volexity.
Neste ano, o governo da Índia foi alvejado por um malware conhecido como “Disgomoji”, atribuído a um cibercriminoso paquistanês chamado UTA0137. A análise da Volexity revelou que o grupo hacker, ao utilizar emojis para sua comunicação C2, parece bem-sucedido em campanhas focadas na espionagem e no ataque a entidades governamentais indianas.
Malware comandado por emojis: como funciona?
O malware ataca apenas sistemas Linux, especificamente a versão de distribuição customizada chamada BOSS, que é a utilizada pelo governo indiano. Pesquisadores acreditam que os hackers usam ataques de phishing para obter acesso inicial, como sugerido pelos documentos utilizados como “isca”.
“O malware cria um canal dedicado para si mesmo no servidor Discord, o que significa que cada canal do servidor representa uma vítima individual. O hacker pode então interagir com cada vítima individualmente utilizando esses canais”, declara o relatório.
Uma vez disparado, o Disgomoji envia uma mensagem de check-in que inclui o IP, o nome do usuário, o nome do host, o sistema operacional e o diretório de trabalho atual. O malware é persistente e sobrevive a reboots do sistema.
Em seguida, o malware espera por mensagens adicionais. A comunicação é mantida com o uso de protocolo baseado em emojis, e os hackers devem enviar emojis como comandos, com parâmetros adicionais quando aplicáveis. Enquanto o Disgomoji processa os comandos, ele reage com um emoji de relógio. Ao finalizar o processo, o emoji de “marca de check” é mostrado na tela.
👉🏽 Vários outros emojis são utilizados para diversos comandos:
O Disgomoji inclui um mecanismo que torna difícil para o Discord interromper as operações maliciosas. Mesmo se o servidor malicioso for banido, o malware pode ser restaurado com a atualização das credenciais do Discord para o servidor C2.
Vale destacar que o malware tem muitos recursos, como o uso do Nmap para verificar as redes das vítimas, Chisel e Ligolo para tunelamento de rede e, ainda, serviço de compartilhamento de arquivos para baixar e hospedar dados exfiltrados. Disfarçado como uma atualização do Firefox, às vezes o malware pede que as vítimas digitem suas senhas.
Com informações de: Cybernews
Imagem: Domingo Alvarez E na Unsplash
