Un grupo de investigadores ha descubierto una nueva campaña de ciberespionaje asociada al actor malicioso UTA0137 con sede en Pakistán.
Utilizan un malware llamado DISGOMOJI dirigido a sistemas operativos Linux, capaz de comunicarse con dispositivos infectados y ejecutar comandos a través del uso de emojis en Discord.
El malware DISGOMOJI, identificado por la empresa de ciberseguridad Volexity, está hecho para robar información y archivos,. Apunta a entidades gubernamentales en India.
INFECTAN DISPOSITIVOS MEDIANTE DISCORD
Esta campaña ha estado activa este año, según el análisis compartido. Los ciberdelincuentes infectan dispositivos mediante Discord.
Una vez instalado, el malware puede ejecutar comandos, tomar capturas de pantalla, robar archivos e incluso cargar software adicional y buscar archivos.
Utilizan emojis como método de control, modificando el proyecto discord-c2 para usar emojis en lugar de texto para comandos maliciosos.
Esto puede eludir el software de seguridad basado en texto.
HASTA 9 EMOJIS DISTINTOS
Por ejemplo, emojis como el de un hombre corriendo ejecutan comandos, una cámara con flash toma capturas de pantalla y las carga en el canal de comando.
También una mano señalando hacia abajo ordena descargar archivos del dispositivo de la víctima y cargarlos como archivos adjuntos en el canal.
En total, se utilizan hasta 9 emojis distintos, que incluyen el fuego, el zorro, la calavera y varias señales de manos.
DESCARGA DE UN ARCHIVO EJECUTABLE A TRAVÉS DE ‘PHISHING’
Volexity descubrió el malware en un archivo ELF descargado desde un correo phishing. Este archivo simulaba ser un fondo de previsión para oficiales del Servicio de Defensa de la India (DSOP).
El malware descargó ‘vmcoreinfo’ desde un servidor remoto y lo colocó en una carpeta oculta en el dispositivo.
Además, incluía un token de autenticación y datos del servidor codificados para acceder a Discord y crear un canal dedicado. Desde este canal, los ciberdelincuentes lanzaron ataques a más víctimas.
CIBERDELINCUENTES APUNTARON A USUARIOS DE BOSS
Según Volexity, los ciberdelincuentes se dirigieron específicamente a usuarios de BOSS, una distribución de Linux utilizada por autoridades gubernamentales en la India.
Esto sugiere un enfoque deliberado para espiar entidades gubernamentales. UTA0137, el grupo detrás del malware, tubo éxito infectando múltiples víctimas, aunque el número exacto no se brindó.
Una vez dentro de los dispositivos infectados, los ciberdelincuentes pueden propagar el malware, robar datos y credenciales para continuar sus actividades de espionaje.
Fuente: EP.
