Especialistas encontraron emojis con malware enviados desde Discord hacia la distribución de Linux BOSS que son utilizadas por agencias gubernamentales de Indias, pero no descartan su uso contra otras distribuciones de ese sistema operativo.
El actor de amenaza persistente avanzada identificado como UTA0137 fue identificado por los especialistas de la empresa de ciberseguridad Volexity como el responsable de una novedosa campaña de malware que explota una antigua vulnerabilidad de Linux y que utiliza emojis de Discord para la comunicación de comando y control (C2) entre el atacante y los dispositivos infectados.
Este nuevo malware fue denominado como DISGOMOJI y, de acuerdo a los expertos, su principal blanco son dispositivos gubernamentales de la India.
«En 2024, Volexity detectó una campaña de ciberespionaje llevada a cabo por un presunto actor de amenazas basado en Pakistán, que rastreamos bajo el alias UTA0137″, informó la empresa. “Evaluamos con alta confianza que UTA0137 tiene objetivos de espionaje y se enfoca en entidades gubernamentales en la India. Según nuestro análisis, las campañas de UTA0137 han sido exitosas», añadieron los investigadores.
DISGOMOJI permite a los atacantes ejecutar comandos, tomar capturas de pantalla, robar archivos, desplegar cargas útiles adicionales y buscar archivos en dispositivos infectados. Sin embargo, lo que lo distingue es su uso de Discord y emojis como plataforma de comando y control (C2), lo que podría ayudarle a evadir el software de seguridad que busca comandos basados en texto.
Los especialistas de Volexity descubrieron el malware tras identificar un ejecutable ELF empaquetado en UPX en un archivo ZIP, probablemente distribuido mediante correos electrónicos de phishing.
Según Volexity, el malware se dirige a una distribución de Linux personalizada llamada BOSS, utilizada por agencias gubernamentales en India, aunque podría ser adaptable a otras distribuciones de Linux.
Al ejecutarse, el malware descarga y muestra un PDF que parece ser un formulario del sistema previsional de funcionarios de la Defensa de la India, mientras que en segundo plano descarga cargas útiles adicionales, incluyendo el malware DISGOMOJI y un script de shell (uevent_seqnum.sh) que busca y roba datos de unidades USB.
DISGOMOJI extrae información del sistema, como la dirección IP, nombre de usuario, nombre de host, sistema operativo y directorio de trabajo actual. Los actores de amenazas utilizan el proyecto de comando y control discord-c2, que emplea Discord y emojis para comunicarse con dispositivos infectados y ejecutar comandos.
El malware asegura su persistencia en los dispositivos Linux infectados utilizando el comando “cron @reboot” para ejecutarse al iniciar el sistema.
Los especialistas de Volexity también identificaron versiones adicionales del malware que utilizan otros mecanismos de persistencia, como entradas de inicio automático XDG.
Una vez comprometido un dispositivo, los atacantes pueden propagarse lateralmente, robar datos e intentar obtener credenciales adicionales de los usuarios específicos.