Malware Linux është më pak i zakonshëm se malware i Windows, por është po aq i rrezikshëm. Ekspertët e Volexity kanë identifikuar një fushatë kibernetike të spiunazhit të kryer nga grupi pakistanez UTA0137 kundër objektivave indiane, gjatë së cilës është përdorur DISGOMOJI, një malware që përdor emojis për të marrë komanda nga një server Discord.
Emoji në vend të komandave me tekst
Zinxhiri i infeksionit fillon me dërgimin e një skedari ZIP si një bashkëngjitje në email (phishing). Brenda është një ekzekutues ELF që shkarkon një dokument PDF të padëmshëm. DISGOMOJI dhe një skrip shell që kontrollon disqet USB shkarkohen gjithashtu në sfond. Malware u zhvillua kryesisht për shpërndarjen BOSS të përdorur nga agjencitë qeveritare indiane.
Pas fillimit, DISGOMOJI mbledh informacione të ndryshme, duke përfshirë adresën IP, emrin e hostit, emrin e përdoruesit, versionin e sistemit operativ dhe direktorinë e punës, të cilat më pas dërgohen te serveri C2 në Discord. Qëndrueshmëria ruhet me mjetin cron.
Malware komunikon me serverin nëpërmjet një protokolli të bazuar në emoji. Kur një komandë po ekzekutohet, DISGOMOJI dërgon një emoji të orës dhe kur ekzekutimi përfundon, ai dërgon një emoji të shenjës së kontrollit. Serveri përdor 9 emoji të tjerë për të treguar veprimet që duhen kryer në kompjuterin e viktimës, për shembull emoji i kamerës për të marrë një pamje nga ekrani, emoji i zjarrit për të kërkuar dokumente specifike ose emoji i dhelprës për të krijuar një arkiv ZIP të profileve të përdoruesve të Firefox-it.
Të dhënat më pas dërgohen në një shërbim për ndarjen e skedarëve. Ekspertët e Volexity kanë zbuluar një variant tjetër të malware që përdor shfrytëzimin DirtyPipe për të fituar privilegje root.
Discussion about this post