I malware per Linux sono meno diffusi rispetto a quelli per Windows, ma sono altrettanto pericolosi. Gli esperti di Volexity hanno individuato una campagna di cyberspionaggio, effettuata dal gruppo pakistano UTA0137 contro target indiani, durante la quale è stato utilizzato DISGOMOJI, un malware che sfrutta le emoji per ricevere comandi da un server Discord.
Emoji al posto di comandi testuali
La catena di infezione inizia con l’invio di un file ZIP come allegato all’email (phishing). All’interno c’è un eseguibile ELF che scarica un innocuo documento PDF. In background vengono inoltre scaricati DISGOMOJI e uno script di shell che controlla la presenza di drive USB. Il malware è stato sviluppato principalmente per la distribuzione BOSS usata dalle agenzie governative indiane.
All’avvio, DISGOMOJI raccoglie diverse informazioni, tra cui indirizzo IP, hostname, username, versione del sistema operativo e directory di lavoro, successivamente inviate al server C2 su Discord. La persistenza viene mantenuta con l’utility cron.
Il malware comunica con il server attraverso un protocollo basato su emoji. Quando è in corso l’esecuzione di un comando, DISGOMOJI invia l’emoji di un orologio, mentre quando l’esecuzione è terminata invia l’emoji di un check mark (segno di spunta). Il server usa altre 9 emoji per indicare le azioni da eseguire sul computer della vittima, ad esempio l’emoji di una macchina fotografica per scattare uno screenshot, l’emoji del fuoco per cercare specifici documenti o l’emoji di una volpe per creare un archivio ZIP dei profili utente di Firefox.
I dati vengono quindi inviati ad un sevizio di file sharing. Gli esperti di Volexity hanno scoperto un’altra variante del malware che sfrutta l’exploit DirtyPipe per permette di ottenere i privilegi root.
Ti potrebbe interessare
17 giu 2024