Нещодавно була виявлена шкідлива програма Linux під назвою «DISGOMOJI», яка використовує новий підхід до злому. Вона використовує емодзі для виконання команд на заражених пристроях. Вперше програма була зафіксована під час атак на урядові установи в Індії.
Зловмисне програмне забезпечення було виявлено компанією з кібербезпеки Volexity, яка вважає, що ниточки ведуть до пакистанського злочинця, відомого як «UTA0137».
Зловмисне програмне забезпечення схоже на багато інших бекдорів/ботнетів, що використовуються в різних атаках, змушуючи заражені пристрої виконувати команди, робити знімки екрана, викрадати файли, розгортати додаткові корисні навантаження та шукати файли.
Однак використання Discord і емодзі виділяє це зловмисне програмне забезпечення серед інших. Це допомагає обійти сервіси безпеки, які шукають текстові команди.
За даними Volexity, зловмисне програмне забезпечення було виявлено після того, як дослідники помітили виконуваний файл ELF, запакований UPX, у ZIP-архіві, який, ймовірно, поширювався через фішингові електронні листи.
Volexity вважає, що зловмисне програмне забезпечення націлене на спеціальний дистрибутив Linux під назвою BOSS, який індійські урядові установи використовують як робочий стіл. Однак зловмисне програмне забезпечення можна так само легко використовувати для атак на інші дистрибутиви Linux.
Після виконання зловмисне програмне забезпечення завантажить і відобразить PDF-приманку, яка є формою бенефіціара з Фонду забезпечення офіцерів оборонної служби Індії на випадок смерті офіцера.
Однак у фоновому режимі буде завантажено додаткові корисні дані, зокрема шкідливе програмне забезпечення DISGOMOJI та сценарій оболонки під назвою «uevent_seqnum.sh», який використовується для пошуку USB-накопичувачів і викрадення даних з них.
Коли DISGOMOJI запускається, зловмисне програмне забезпечення вилучає системну інформацію з машини, включаючи IP-адресу, ім’я користувача, ім’я хоста, операційну систему та поточний робочий каталог, які надсилаються назад зловмисникам.
Щоб контролювати зловмисне програмне забезпечення, зловмисники використовують проект управління та керування з відкритим вихідним кодом discord-c2, який використовує Discord та емодзі для зв’язку із зараженими пристроями та виконання команд.
Зловмисне програмне забезпечення з’єднається з сервером Discord, яким керує зловмисник, і чекатиме, доки зловмисники введуть емодзі в канал.
Після того, як пристрій зламано, зловмисники використовують свій доступ, щоб розширювати вплив, викрадати дані та намагатися викрасти додаткові облікові дані цільових користувачів.
Хоча емодзі можуть здатися «милою» новинкою для зловмисного програмного забезпечення, вони можуть дозволити йому обійти виявлення програмним службам безпеки.
Підпишись на нас в Google НОВИНИ, та отримуй більше свіжих новин!
Досліджуємо переваги дешевих смартфонів Pixel на Android та чому вони стають популярнішим вибором серед користувачів.
Київстар анонсує зміни у тарифах з 8 квітня. Дізнайтесь про нововведення та що вони принесуть…
Дізнайтеся, чому ціни на iPhone можуть різко зрости та які фактори вплинуть на їхню вартість…
Досліджуйте, які українські прізвища свідчать про розум та інтелект предків. Чи є ваше серед них?
Vodafone оголосив про зміни, які вплинуть на всіх абонентів. Дізнайтеся подробиці у нашій статті!
У статті розглядається основний недолік китайських iPhone, який впливає на їхню якість та довговічність. Дізнайтеся…