Емодзі можуть вкрасти дані: нова хакерська схема злому серверів

Нещодавно була виявлена ​​шкідлива програма Linux під назвою «DISGOMOJI», яка використовує новий підхід до злому. Вона використовує емодзі для виконання команд на заражених пристроях. Вперше програма була зафіксована під час атак на урядові установи в Індії.

Зловмисне програмне забезпечення було виявлено компанією з кібербезпеки Volexity, яка вважає, що ниточки ведуть до пакистанського злочинця, відомого як «UTA0137».

Зловмисне програмне забезпечення схоже на багато інших бекдорів/ботнетів, що використовуються в різних атаках, змушуючи заражені пристрої виконувати команди, робити знімки екрана, викрадати файли, розгортати додаткові корисні навантаження та шукати файли.

Однак використання Discord і емодзі виділяє це зловмисне програмне забезпечення серед інших. Це допомагає обійти сервіси безпеки, які шукають текстові команди.

За даними Volexity, зловмисне програмне забезпечення було виявлено після того, як дослідники помітили виконуваний файл ELF, запакований UPX, у ZIP-архіві, який, ймовірно, поширювався через фішингові електронні листи.

Volexity вважає, що зловмисне програмне забезпечення націлене на спеціальний дистрибутив Linux під назвою BOSS, який індійські урядові установи використовують як робочий стіл. Однак зловмисне програмне забезпечення можна так само легко використовувати для атак на інші дистрибутиви Linux.

Після виконання зловмисне програмне забезпечення завантажить і відобразить PDF-приманку, яка є формою бенефіціара з Фонду забезпечення офіцерів оборонної служби Індії на випадок смерті офіцера.

Однак у фоновому режимі буде завантажено додаткові корисні дані, зокрема шкідливе програмне забезпечення DISGOMOJI та сценарій оболонки під назвою «uevent_seqnum.sh», який використовується для пошуку USB-накопичувачів і викрадення даних з них.

Коли DISGOMOJI запускається, зловмисне програмне забезпечення вилучає системну інформацію з машини, включаючи IP-адресу, ім’я користувача, ім’я хоста, операційну систему та поточний робочий каталог, які надсилаються назад зловмисникам.

Щоб контролювати зловмисне програмне забезпечення, зловмисники використовують проект управління та керування з відкритим вихідним кодом discord-c2, який використовує Discord та емодзі для зв’язку із зараженими пристроями та виконання команд.

Зловмисне програмне забезпечення з’єднається з сервером Discord, яким керує зловмисник, і чекатиме, доки зловмисники введуть емодзі в канал.

Після того, як пристрій зламано, зловмисники використовують свій доступ, щоб розширювати вплив, викрадати дані та намагатися викрасти додаткові облікові дані цільових користувачів.

Хоча емодзі можуть здатися «милою» новинкою для зловмисного програмного забезпечення, вони можуть дозволити йому обійти виявлення програмним службам безпеки.

Підпишись на нас в Google НОВИНИ, та отримуй більше свіжих новин!