Malware DISGOMOJI
Una campaña de ciberespionaje dirigida a entidades gubernamentales indias en 2024 se ha atribuido a un presunto actor de amenazas con sede en Pakistán. Los expertos en seguridad están monitoreando esta campaña, identificada como UTA0137, que emplea un malware único llamado DISGOMOJI. Este malware, escrito en Golang, se dirige específicamente a los sistemas Linux.
Tabla de contenido
DISGOMOJI explota la plataforma legítima de Discord
DISGOMOJI es una iteración personalizada del proyecto público Discord-C2, que utiliza el servicio de mensajería Discord para operaciones de Comando y Control (C2), con emojis integrados para la comunicación.
Curiosamente, DISGOMOJI es la misma herramienta de espionaje integral identificada previamente por investigadores de ciberseguridad durante un análisis de infraestructura relacionado con un ataque atribuido al actor Transparent Tribe, un grupo de hackers vinculado a Pakistán.
El malware DISGOMOJI se controla mediante Discord Emojis
El ataque comienza con correos electrónicos de phishing que contienen un binario Golang ELF encerrado en un archivo ZIP. Tras la ejecución, el binario recupera un documento señuelo inofensivo mientras descarga discretamente la carga útil DISGOMOJI desde un servidor remoto.
DISGOMOJI, una versión personalizada de Discord-C2, está diseñada para recopilar datos del host y ejecutar comandos desde un servidor de Discord controlado por el atacante. Se trata de un método único para enviar e interpretar comandos a través de varios emojis:
✅ - Indica la finalización de un comando
💀 - Finaliza el proceso de malware en el dispositivo de la víctima
🏃♂️ - Ejecuta un comando en el dispositivo de la víctima
📸 - Toma una captura de pantalla de la pantalla de la víctima
👇 - Sube un archivo desde el dispositivo de la víctima al canal
☝️ - Descarga un archivo al dispositivo de la víctima
👈 - Carga un archivo desde el dispositivo de la víctima para transferirlo[.]sh
👉 - Descarga un archivo alojado en oshi[.]at al dispositivo de la víctima
🦊: reúne los perfiles de Mozilla Firefox en el dispositivo de la víctima en un archivo ZIP.
🕐 - Informa al atacante que el comando se está procesando
🔥 - Busca y filtra archivos con extensiones específicas: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS y ZIP
El malware establece un canal separado en el servidor de Discord para cada víctima, lo que permite al atacante interactuar con cada víctima individualmente a través de estos canales.
Las diferentes versiones de DISGOMOJI equipadas muestran variaciones en las capacidades
Los investigadores han descubierto varias iteraciones de DISGOMOJI equipadas con funciones avanzadas, incluida la capacidad de establecer persistencia, evitar la ejecución simultánea de procesos DISGOMOJI duplicados, recuperar dinámicamente credenciales para la conexión del servidor Discord en tiempo de ejecución y ofuscar el análisis presentando mensajes informativos y de error engañosos.
Además, se ha observado que el actor de amenazas UTA0137 aprovecha herramientas legítimas y de código abierto como Nmap, Chisel y Ligolo para fines de escaneo de red y creación de túneles. Una campaña reciente aprovechó la vulnerabilidad DirtyPipe (CVE-2022-0847) para obtener una escalada de privilegios en hosts Linux. Otra táctica posterior a la explotación implica el uso de la utilidad Zenity para mostrar un cuadro de diálogo fraudulento que se hace pasar por una actualización de Firefox, con el objetivo de engañar a los usuarios para que revelen sus contraseñas.
