La creatividad de los ciberdelincuentes no tiene límites, y recientemente han encontrado una manera innovadora de infiltrarse en los sistemas Linux: a través del uso de emojis. Este nuevo tipo de malware, controlado mediante emojis enviados desde Discord, está desafiando las medidas de seguridad tradicionales y planteando nuevos retos para los especialistas en ciberseguridad. En este artículo, exploraremos cómo funciona esta técnica y qué la hace tan efectiva.
Un malware de Linux recientemente descubierto, denominado 'DISGOMOJI', emplea el innovador método de usar emojis para ejecutar comandos en dispositivos infectados durante ataques dirigidos a agencias gubernamentales en India.
Este malware está vinculado a un actor de amenazas con sede en Pakistán conocido como 'UTA0137', que ha sido identificado como responsable de una campaña de ciberespionaje en 2024. Se cree con alta confianza que UTA0137 tiene objetivos relacionados con el espionaje y está dirigido específicamente a entidades gubernamentales en la India. Las campañas de UTA0137 han mostrado indicios de éxito.
DISGOMOJI es similar a muchas otras puertas traseras y botnets utilizadas en diversos ataques, permitiendo a los actores de amenazas ejecutar comandos, tomar capturas de pantalla, robar archivos, implementar cargas útiles adicionales y buscar archivos. No obstante, su distintivo uso de Discord y emojis como plataforma de comando y control (C2) lo diferencia de otros malware y podría permitirle evadir el software de seguridad que busca comandos basados en texto.
Conoce más sobre: Discord: El Terreno de Juego de los Ciberdelincuentes
El malware fue descubierto después de que investigadores detectaron un ejecutable ELF empaquetado en UPX dentro de un archivo ZIP, probablemente distribuido a través de correos electrónicos de phishing. Este malware parece estar dirigido a una distribución de Linux personalizada llamada BOSS, utilizada por las agencias gubernamentales de la India como escritorio. Sin embargo, tiene la capacidad de ser utilizado en ataques contra otras distribuciones de Linux.
Al ejecutarse, el malware descarga y muestra un PDF que aparenta ser un formulario de beneficiario del Fondo de Previsión para Oficiales del Servicio de Defensa de la India en caso de fallecimiento de un oficial. Simultáneamente, se descargan cargas útiles adicionales en segundo plano, incluyendo el malware DISGOMOJI y un script de shell llamado 'uevent_seqnum.sh', que se usa para buscar unidades USB y robar datos de ellas.
Cuando se inicia DISGOMOJI, el malware extrae información del sistema de la máquina, como la dirección IP, el nombre de usuario, el nombre de host, el sistema operativo y el directorio de trabajo actual, y envía esta información de vuelta a los atacantes.
Para controlar el malware, los actores de amenazas utilizan el proyecto de control y comando de código abierto discord-c2, que emplea Discord y emojis para comunicarse con los dispositivos infectados y ejecutar comandos.
El malware se conecta a un servidor Discord controlado por el atacante y espera a que los actores de la amenaza ingresen emojis en el canal. Nueve emojis se utilizan para representar comandos que se ejecutarán en el dispositivo infectado.
Te podrá interesar leer: El Peligroso Auge de Remcos RAT a través de Discord
El malware asegura su persistencia en dispositivos Linux mediante el uso del comando cron @reboot, lo que le permite ejecutarse automáticamente al iniciar el sistema. Se han identificado versiones adicionales del malware que emplean otros mecanismos de persistencia para DISGOMOJI y el script de robo de datos USB, tales como entradas de inicio automático XDG.
Una vez comprometido un dispositivo, los actores de amenazas aprovechan su acceso para propagarse lateralmente, robar datos y tratar de obtener credenciales adicionales de los usuarios específicos. Aunque el uso de emojis para controlar el malware pueda parecer una "novedad linda", esta técnica permite evadir la detección por parte del software de seguridad, que normalmente busca comandos de malware basados en cadenas de texto. Esto hace que este enfoque sea particularmente intrigante y efectivo.
Conoce más sobre: Fase 3 del Mitre ATT&CK: Movimiento Lateral
El malware controlado por emojis a través de Discord marca un gran avance en las tácticas de los ciberdelincuentes. Su habilidad para pasar desapercibido y funcionar en diversos sistemas lo convierte en una amenaza real y creciente. Para protegernos contra este y otros peligros avanzados, es crucial adoptar una postura de seguridad proactiva y diversa. Esto significa implementar tecnologías avanzadas, mantener el software siempre actualizado y educar a los usuarios para que puedan identificar y evitar posibles riesgos.
Estar al día con las últimas tendencias y tácticas en ciberseguridad es fundamental para defenderse contra nuevas amenazas. Entender cómo funcionan estos tipos de malware y tomar medidas preventivas adecuadas nos ayudará a reducir los riesgos y proteger la integridad de nuestros sistemas y datos.