A „DISGOMOJI” nevű újonnan felfedezett Linux malware-t emojikon keresztül irányítják, hogy az indiai kormány ügynökségeinek fertőzött gépein hajtsanak végre támadásokat. A Volexity nevű kibervédelmi cég állítása szerint a malware az „UTA0137” nevű pakisztáni fenyegető szereplőhöz köthető, aki pedig nagy valószínűséggel kémkedési szándékkal hajtja végre a támadásokat.
A rosszindulatú program sokban hasonlít a többi backdorra/botnetre: használatával a támadó parancsokat hajthat végre, screenshotokat készíthet, fájlokat kereshet és lophat el, illetve payloadokat telepíthet. Ami viszont megkülönbözteti a többi hasonló szoftvertől, az a Discord emojik módszertana, mivel a támadó ezeket használja C2 platformként, így megkerülve a szövegalapú parancsokat kutató biztonsági szoftvereket.
A Volexity közleménye szerint a malware-t azután fedezték fel, miután a kutatók találtak egy UPX-szel csomagolt ELF futtatható fájlt egy ZIP archívumban, amelyet nagy valószínűséggel phishing emaileken keresztül terjesztenek. A Linux egyedi, BOSS nevű disztribúcióját veszi célba, amelyet az indiai kormányzati szervek használnak asztali gépként (használható lenne bármely másik Linux-disztribúció ellen is).
Futtatás során a rosszindulatú szoftver letölti és megnyitja a PDF-csalit, amely mutat egy tiszt halála esetén készülő indiai Defence Service Officer Provident Fund kedvezményezetti formanyomtatványt. A háttérben több payload is letöltésre kerül, köztük a DISGOMOJI malware illetve egy „uevent_seqnum.sh” nevű shell szkript, amellyel USB-meghajtókat kereshetnek és adatokat lophatnak róluk.
Amikor a DISGOMOJI futtatásra kerül a rosszindulatú program rendszerinformációkat szivárogtat ki, ideértve az IP-címet, felhasználónevet, hostnevet, operációs rendszert és könyvtárat, amelyeket utána továbbít a támadóknak. A fenyegető szereplők ezt követően a Discord-C2 nyílt forráskódú parancs- és vezérlési projektet használják, amely Discord emojikat használ a fertőzött eszközökkel való kommunikációhoz és parancsok végrehajtásához. A malware csatlakozik a támadók által létrehozott Discord szerverekhez, és várja, hogy a megfelelő emojikat bevigyék a chatbe.
Kilenc emojit használnak a fertőzött eszközön végrehajtandó parancsok ábrázolására:
🏃: Parancs végrehajtása az áldozat eszközén. Egy argumentumot vár, amely a lefuttatandó parancs lesz.
📸: Screenshot készítése az áldozat képernyőjéről és feltöltése a parancs csatornára mint csatolmány.
👇: Fájlok letöltése az áldozat eszközéről és feltöltésük a parancs csatornára mint csatolmány. Az argumentum a fájl útja lesz.
👆: Fájlok feltöltése az áldozat eszközére. A feltöltendő fájl csatolva van ehhez az emojihoz.
👉: Fájl feltöltése az Oshi-ba (oshi[.]at – távoli fájl-tároló szolgáltatás) az áldozat számítógépéről. Az argumentet a feltöltendő fájl neve lesz.
👈: Fájl feltöltése a transfer[.]sh-ba (távoli fájlmegosztó szolgáltatás) az áldozat számítógépéről. Az argumentet a feltöltendő fájl neve lesz.
🔥: Keresse meg és küldje el az összes olyan fájlt az áldozat számítógépéről, amely megfelel egy előre meghatározott kiterjesztési listának. A következő kiterjesztésű fájlok már kiszivárogtatásra kerültek: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS, ZIP.
🦊: Zipeljen minden Firefox profilt az áldozat eszközén. Ezeket a fájlokat a támadó később is elérheti.
💀: A malware leállítása az os.Exit() futtatásával.
A kártékony szereplő a Linux-eszközön a @reboot cron parancsot használja a malware futtatására. Az eszközök megfertőzése után a támadók oldalirányban terjednek, adatokat lopnak, továbbá hitelesítő adatokat próbálnak megszerezni az áldozatoktól.
A kutatók további verziókat is felfedeztek, amelyek más perzisztencia-mechanizmusokat használtak a DISGOMOJI és az USB adathalász szkript számára, ideértve az XDG automatikus indítási bejegyzéseket is. Az emojik népszerűek, de veszélyesek is lehetnek, mert lehetővé tehetik, hogy megkerüljék a biztonsági szoftverek észlelését, amelyek általában a karakterlánc-alapú parancsokat keresik.
