Скрытая угроза: как вредонос использует смайлики в Discord для атак на Linux

Недавно обнаруженная вредоносная программа для Linux, названная DISGOMOJI, применяет новую методику, которая заключается в использовании смайликов для осуществления команд на заражённых устройствах во время атак на государственные учреждения Индии. Она была найдена специалистами компании Volexity, которые считают, что она связана с хакером, базирующимся в Пакистане и известным как «UTA0137».

Вредоносная программа похожа на многие другие троянские программы и ботнеты, используемые в различных атаках, давая возможность злоумышленникам осуществлять команды, делать скриншоты, похищать файлы, устанавливать дополнительное программное обеспечение и искать файлы. Но использование Discord и смайликов в качестве системы управления и контроля отличает DISGOMOJI от других вредоносных программ и позволяет ей обходить защитные механизмы, которые отслеживают текстовые команды.

Вредонос был обнаружен после того, как специалисты натолкнулись на исполняемый файл ELF, упакованный в UPX, в ZIP-архиве, который, предположительно, распространялся через фишинговые письма. Volexity считает, что вредоносная программа нацелена на специализированный дистрибутив Linux под названием BOSS, который широко применяется в индийских государственных учреждениях.

Тем не менее DISGOMOJI с лёгкостью может использоваться для атак на другие дистрибутивы Linux. После запуска она загружает и отображает PDF-файл, который является формой бенефициара из Фонда обеспечения офицеров оборонной службы Индии на случай гибели офицера. Однако в фоновом режиме происходит загрузка дополнительного ПО, включая DISGOMOJI и сценарий оболочки под названием «uevent_seqnum.sh», который используется для поиска USB-устройств и хищения данных с них.

Она собирает информацию о системе, включая IP-адрес, имя пользователя, имя хоста, операционную систему и текущую рабочую папку, и отправляет её злоумышленникам. Для управления ею злоумышленники используют проект с открытым исходным кодом discord-c2, который использует Discord и смайлики для связи с заражёнными устройствами и выполнения команд. Программа подключается к контролируемому злоумышленниками серверу Discord и ожидает, когда злоумышленники введут смайлики в чат.

Подробный разбор можно прочитать тут.