Un malware Linux récemment découvert baptisé « DISGOMOJI » utilise la nouvelle approche consistant à utiliser des émojis pour exécuter des commandes sur des appareils infectés lors d’attaques contre des agences gouvernementales en Inde.

Le logiciel malveillant a été découvert par la société de cybersécurité Volexity, qui pense qu’il est lié à un acteur de la menace basé au Pakistan connu sous le nom de « UTA0137 ».’

« En 2024, Volexity a identifié une campagne de cyberespionnage entreprise par un acteur présumé de la menace basé au Pakistan que Volexity suit actuellement sous le pseudonyme UTA0137 », explique Volexity.

« Volexity évalue avec une grande confiance que UTA0137 a des objectifs liés à l’espionnage et a pour mission de cibler des entités gouvernementales en Inde. Sur la base de l’analyse de Volexity, les campagnes d’UTA0137 semblent avoir été couronnées de succès », ont poursuivi les chercheurs.

Le malware est similaire à de nombreuses autres portes dérobées / botnets utilisés dans différentes attaques, permettant aux acteurs de la menace d’exécuter des commandes, de prendre des captures d’écran, de voler des fichiers, de déployer des charges utiles supplémentaires et de rechercher des fichiers.

Cependant, son utilisation de Discord et d’emojis en tant que plate-forme de commande et de contrôle (C2) permet au malware de se démarquer des autres et pourrait lui permettre de contourner les logiciels de sécurité qui recherchent des commandes textuelles.

Discorde et emojis en tant que C2
Selon Volexity, le logiciel malveillant a été découvert après que les chercheurs ont repéré un exécutable ELF contenant UPX dans une archive ZIP, probablement distribué par le biais d’e-mails de phishing. Volexity pense que le malware cible une distribution Linux personnalisée nommée BOSS que les agences gouvernementales indiennes utilisent comme bureau.

Une fois exécuté, le logiciel malveillant téléchargera et affichera un leurre PDF qui est un formulaire de bénéficiaire du Fonds de prévoyance des officiers des services de défense indiens en cas de décès d’un officier.

Cependant, des charges utiles supplémentaires seront téléchargées en arrière-plan, y compris le malware DISGOMOJI et un script shell nommé ‘uevent_seqnum.sh’ qui est utilisé pour rechercher des clés USB et leur voler des données.

Lorsque DISGOMOJI est lancé, le logiciel malveillant exfiltrera les informations système de la machine, y compris l’adresse IP, le nom d’utilisateur, le nom d’hôte, le système d’exploitation et le répertoire de travail actuel, qui sont renvoyés aux attaquants.

Pour contrôler les logiciels malveillants, les acteurs de la menace utilisent le projet de commande et de contrôle open source discord-c2, qui utilise Discord et les émojis pour communiquer avec les appareils infectés et exécuter des commandes.

Le logiciel malveillant se connectera à un serveur Discord contrôlé par un attaquant et attendra que les auteurs de la menace tapent des émojis dans le canal.

« DISGOMOJI écoute les nouveaux messages dans le canal de commande sur le serveur Discord. La communication C2 s’effectue à l’aide d’un protocole basé sur les emoji où l’attaquant envoie des commandes au logiciel malveillant en envoyant des emojis au canal de commande, avec des paramètres supplémentaires après l’emoji le cas échéant. Pendant que DISGOMOJI traite une commande, il réagit avec un emoji “Horloge” dans le message de commande pour informer l’attaquant que la commande est en cours de traitement. Une fois la commande entièrement traitée, la réaction emoji “Horloge” est supprimée et DISGOMOJI ajoute un emoji “Bouton coche” en réaction au message de commande pour confirmer que la commande a été exécutée. »

❖ Volexité


Neuf émojis sont utilisés pour représenter les commandes à exécuter sur un appareil infecté, qui sont répertoriés ci-dessous.

Le logiciel malveillant maintient la persistance sur le périphérique Linux en utilisant la commande cron @reboot pour exécuter le logiciel malveillant au démarrage.

Volexity dit qu’ils ont découvert des versions supplémentaires qui utilisaient d’autres mécanismes de persistance pour DISGOMOJI et le script de vol de données USB, y compris les entrées de démarrage automatique XDG.

Une fois qu’un appareil est piraté, les acteurs de la menace utilisent leur accès pour se propager latéralement, voler des données et tenter de voler des informations d’identification supplémentaires aux utilisateurs ciblés.

Bien que les émojis puissent sembler une nouveauté « mignonne » pour le logiciel malveillant, ils pourraient lui permettre de contourner la détection par un logiciel de sécurité qui recherche généralement des commandes de logiciels malveillants basées sur des chaînes, ce qui en fait une approche intéressante.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *