Malware do Linux usa emojis do Discord para executar comandos em dispositivos infectados

Os usuários do Linux precisam tomar cuidado com mais um novo malware que pode infectar seu sistema. Nomeado como “DISGOMOJI”, o software recém-descoberto malicioso tem uma maneira nova de funcionamento: ele consegue usar emojis para executar comandos em dispositivos que estão infectados.

Ao que tudo indica, o novo malware foi desenvolvido por um hacker do Paquistão conhecido como “UT0137” e tem como alvo os dispositivos infectados em agências governamentais na Índia. As informações são da empresa de segurança cibernética “Volexity”, que tem rastreado o possível hacker nos últimos meses.

Em uma nota disponibilizada pela própria Volexity, a empresa explica um pouco sobre o interesse do hacker misterioso e como ele parece ter alcançado parte de seus objetivos. Veja:

Em 2024, a Volexity assinou uma campanha de ciberespionagem realizada por um suposto ator de ameaça baseado no cristianismo que a Volexity atualmente rastreia sob o pseudônimo UTA0137. A Volexity avalia com grande confiança que o UTA0137 tem objetivos relacionados à espionagem e uma missão de atingir entidades governamentais na Índia. Com base na análise da Volexity, as campanhas do UTA0137 parecem ter sido bem-sucedidas.

Assim como muitos outros backdoors/botnets já criados, o DISGOMOJI pode ser usado para executar diversos ataques com o intuito de conseguir algo, como capturas de tela, roubo de arquivos, implantação de cargas adicionais de malware, busca de arquivos e muito mais.

No entanto, o destaque do vírus é o uso do Discord e dos seus emojis para que eles funcionem como uma plataforma de comando e controle (C2), o que por sua vez permite que o malware se esquive do software de segurança que busca por prompts baseados em texto escrito. São cerca de 9 emojis usados ​​para representar comandos em dispositivos:

Basicamente, os invasores usam um servidor do Discord para dar os comandos ao dispositivo que foi infectado por algum arquivo malicioso distribuído por meio de e-mails. Abaixo, a empresa explica melhor como funcionam esses processos:

DISGOMOJI escuta novas mensagens no canal de comando do servidor Discord. A comunicação C2 ocorre usando um protocolo baseado em emoji onde o invasor envia comandos ao malware enviando emojis para o canal de comando, com cláusulas adicionais seguindo o emoji quando aplicável. Enquanto DISGOMOJI está processando um comando, ele reage com um emoji “Relógio” na mensagem de comando para informar ao invasor que o comando está sendo processado. Assim que o comando for totalmente processado, a evidência do emoji “Relógio” é removida e DISGOMOJI adiciona um “. Check Mark Button” emoji como uma ocorrência à mensagem de comando para confirmar que o comando foi executado.

Embora o foco do DISGOMOJI seja atacar variantes do Linux chamadas “BOSS”, que o governo indiano carregava como desktop, o malware pode infectar outras variantes do sistema também. Recentemente, uma falha de segurança do Windows permite ataques por meio de Wi-Fi.