Un grupo de investigadores ha descubierto una nueva campaña de ciberespionaje asociada al actor malicioso UTA0137, afincado en Pakistán, que utiliza ‘malware’ dirigido a sistemas operativos Linux, capaz de comunicarse con dispositivos infectados y ejecutar comandos mediante el uso de ’emojis’ en Discord. .
El nuevo ‘malware’, denominado DISGOMOJI, actúa a través de Discord para robar información y archivos de las víctimas con el objetivo de espiar, concretamente, a entidades gubernamentales de la India.
Así lo ha anunciado la empresa de ciberseguridad Volexity, que ha identificado el uso de este nuevo ‘malware’ este año y ha compartido un análisis de la campaña de ciberespionaje, asociada al actor malicioso identificado con el alias UTA0137 y con base en Pakistán.
En concreto, los ciberdelincuentes utilizan DISGOMOJI para infectar dispositivos a través de Discord y, una vez implementado, el malware es capaz de ejecutar comandos, tomar capturas de pantalla, robar archivos e incluso implementar cargas de software y búsquedas adicionales. archivos.
Según han explicado expertos en ciberseguridad, todo esto se consigue mediante el uso de ’emojis’ como método de control, gracias a una versión modificada del proyecto público discord-c2, que utiliza el servicio de mensajería de la plataforma para el mando y control (C2). Este sistema puede permitir que se omita el software de seguridad del sistema, ya que busca comandos maliciosos basados en texto, no en emojis.
Por ejemplo, como detallan en su página web, el ’emoji’ de un hombre corriendo permite ejecutar un comando en el dispositivo de la víctima. Asimismo, una cámara con flash toma una captura de pantalla y la sube al canal de comando. , por su parte, una mano apuntando hacia abajo, ordena que los archivos se descarguen del dispositivo de la víctima y se suban al canal de comando como archivos adjuntos.
Además de los mencionados anteriormente, en total se utilizan hasta 9 ’emojis’ diferentes, entre los que se incluyen el fuego, el zorro, la calavera y las manos apuntando hacia los lados y hacia arriba y hacia abajo.
DESCARGAR UN ARCHIVO EJECUTABLE MEDIANTE ‘PHISHING’
En el caso de Volexity, el malware se descubrió por primera vez después de descargar un archivo ejecutable ELF estándar de una fuente de phishing. Este archivo permitía descargar un archivo benigno a modo de “señuelo” bajo el acrónimo de Fondo de Previsión para Oficiales del Servicio de Defensa de la India (DSOP).
Después de eso, el ‘malware’ descargó su carga útil llamándola ‘vmcoreinfo’ desde un servidor remoto. Esta carga útil es en sí misma malware DISGOMOJI y se colocó en una carpeta oculta llamada .x86_64-linux-gnuen en el dispositivo.
Además de todo esto, dentro del archivo ELF, los ciberdelincuentes también incluyen un token de autenticación cifrado y una identificación del servidor, que utilizan para acceder al servidor de Discord y crear un canal dedicado. Una vez creados, los ciberdelincuentes pueden atacar a más víctimas utilizando su propio canal en la plataforma.
Además, según Volexity, los ciberdelincuentes identificaron que las autoridades gubernamentales indias suelen utilizar una distribución de Linux personalizada llamada BOSS. Por ello, centraron los ataques en este tipo de sistemas para llegar de manera más efectiva a sus presuntas víctimas.
“Volexity evalúa con alta confianza que UTA0137 tiene objetivos relacionados con el espionaje y un mandato para apuntar a entidades gubernamentales en la India”, han detallado los ciberexpertos, al tiempo que aclaran que, según su análisis, las campañas de UTA0137 parecen haber tenido, es decir, como Como ha destacado, UTA0137 ha conseguido infectar a varias víctimas, aunque el análisis de la empresa de ciberseguridad no detalla cuántas.
Con todo ello, los expertos en ciberseguridad han destacado que, una vez que los ciberdelincuentes acceden a los dispositivos infectados, pueden propagarse a otros usuarios, robar datos e información e incluso credenciales adicionales a otros servicios, con el objetivo de continuar con el espionaje.
