DISGOMOJI Malware
Uma campanha de ciberespionagem dirigida a entidades governamentais indianas em 2024 foi atribuída a um suspeito de ameaça baseado no Paquistão. Especialistas em segurança estão monitorando esta campanha, identificada como UTA0137, que emprega um malware exclusivo chamado DISGOMOJI. Este malware, escrito em Golang, tem como alvo específico os sistemas Linux.
Índice
O DISGOMOJI Explora a Plataforma Legítima Discord
O DISGOMOJI é uma iteração customizada do projeto público Discord-C2, utilizando o serviço de mensagens Discord para operações de Comando e Controle (C2), com emojis integrados para comunicação.
Curiosamente, o DISGOMOJI é a mesma ferramenta de espionagem abrangente identificada anteriormente por pesquisadores de segurança cibernética durante uma análise de infraestrutura relacionada a um ataque atribuído ao ator Transparent Tribe, um grupo de hackers ligado ao Paquistão.
O DISGOMOJI Malware é Controlado por Emojis do Discord
O ataque começa com e-mails de spear-phishing contendo um binário Golang ELF incluído em um arquivo ZIP. Após a execução, o binário busca um documento chamariz inofensivo enquanto baixa discretamente a carga do DISGOMOJI de um servidor remoto.
O DISGOMOJI, uma versão personalizada do Discord-C2, foi projetada para coletar dados do host e executar comandos de um servidor Discord controlado pelo invasor. Ele oferece um método único de envio e interpretação de comandos por meio de vários emojis:
✅ - Indica a conclusão de um comando
💀 - Encerra o processo de malware no dispositivo da vítima
🏃♂️ - Executa um comando no dispositivo da vítima
📸 - Faz uma captura de tela da tela da vítima
👇 - Carrega um arquivo do dispositivo da vítima para o canal
☝️ - Baixa um arquivo para o dispositivo da vítima
👈 - Carrega um arquivo do dispositivo da vítima para transferir[.]sh
👉 - Baixa um arquivo hospedado em oshi[.]at para o dispositivo da vítima
🦊 - Reúne perfis do Mozilla Firefox no dispositivo da vítima em um arquivo ZIP
🕐 - Informa ao invasor que o comando está sendo processado
🔥 - Pesquisa e exfiltra arquivos com extensões específicas: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS e ZIP
O malware estabelece um canal separado no servidor Discord para cada vítima, permitindo ao invasor interagir com cada vítima individualmente por meio desses canais.
Diferentes Versões Equipadas do DISGOMOJI Mostram Variações nas Suas Capacidades
Os pesquisadores descobriram várias iterações do DISGOMOJI equipadas com recursos avançados, incluindo a capacidade de estabelecer persistência, impedir a execução simultânea de processos do DISGOMOJI duplicados, recuperar dinamicamente credenciais para conexão do servidor Discord em tempo de execução e ofuscar análises apresentando informações enganosas e mensagens de erro.
Além disso, o agente da ameaça UTA0137 foi observado aproveitando ferramentas legítimas e de código aberto, como Nmap, Chisel e Ligolo, para fins de varredura de rede e tunelamento. Uma campanha recente explorou a vulnerabilidade DirtyPipe (CVE-2022-0847) para obter escalonamento de privilégios em hosts Linux. Outra tática pós-exploração envolve o uso do utilitário Zenity para exibir uma caixa de diálogo fraudulenta se passando por uma atualização do Firefox, com o objetivo de enganar os usuários para que revelem suas senhas.
