A volte gli hacker sanno essere molto creativi, come nel caso dell’ultimo malware che sta infestando Linux: DISGOMOJI. Un malware che, come si può evincere dal nome, utilizza un metodo innovativo per eseguire comandi sui dispositivi infetti: gli emoji. E per quanto possa sembrare assurdo, tutto ciò permette a questo malware di sfuggire brillantemente ai tradizionali sistemi di sicurezza.
DISGOMOJI, il malware a base di emoji
Riporta Bleeping Computer, è la società di cybersecurity Volexity ad aver scoperto per prima questo malware, al momento in uso da parte del gruppo hacker pakistano UTA0137 per prendere di mira specificamente le agenzie governative in India.
Si ritiene che il malware prenda di mira una distribuzione Linux personalizzata chiamata BOSS, utilizzata appunto dalle agenzie governative indiane, ma potrebbe essere adattato per attaccare altre distribuzioni Linux, anche civili.
Come già anticipato, DISGOMOJI è un malware molto speciale, perché utilizza non solo un server Discord ma in particolar modo gli emoji. Per quanto possa sembrare un dettaglio “simpatico”, gli emoji permetterebbero a DISGOMOJI di sfuggire ai sistemi di rilevamento che cercano comunemente comandi malware basati su stringhe, rendendo questa tecnica particolarmente insidiosa.
Come funziona il malware-emoji
Sempre Bleeping Computer riporta che la società Volexity ha scoperto il malware dopo aver individuato un file ELF compresso con UPX in un archivio ZIP, probabilmente distribuito tramite email di phishing. Una volta eseguito, il malware scarica e visualizza un file PDF esca, mentre in background vengono scaricati ulteriori payload, incluso il nostro DISGOMOJI.
Il funzionamento di questo malware è abbastanza semplice, visto che DISGOMOJI condivide molte somiglianze con altri malware nel compiere attività come eseguire comandi, catturare schermate, rubare file e tanto altro.
Tuttavia, la peculiarità di questo malware è nel fatto che, oltre a usare gli emoji, esso riesce a mantenere la sua presenza sui dispositivi Linux utilizzando il comando cron @reboot, in modo da eseguire il malware a partire dall’avvio del sistema.
Bleeping Computer riferisce di ben 9 emoji utilizzati per indicare le azioni da eseguire sul computer della vittima. Alcuni esempi sono:
- l’emoji di una macchina fotografica per scattare uno screenshot;
- l’emoji del fuoco per cercare specifici documenti;
- l’emoji di una volpe per creare un archivio ZIP dei profili utente di Firefox.
Come viene sfruttato Discord
L’obiettivo di questo malware è, come del resto quello di tutti, raccogliere informazioni come l’indirizzo IP, il nome utente, l’hostname, il sistema operativo e la directory corrente.
A contribuire a questo obiettivo c’è anche Discord, suo malgrado. Per controllare il malware, i cybercriminali utilizzano un progetto open-source di comando e controllo chiamato discord-c2, che sfrutta appunto Discord per comunicare con i dispositivi infetti.
Il malware si connette a un server Discord controllato dagli hacker e attende che questi digitino emoji nel canale. Quando DISGOMOJI riceve un nuovo messaggio nel canale di comando, utilizza un protocollo basato su emoji per eseguire i comandi inviati dagli hacker.
