Malware DISGOMOJI usa emojis para controlo

Um novo malware para Linux chamado 'DISGOMOJI' está a usar emojis para executar comandos em dispositivos infectados, numa medida original e que potencialmente poderá dificultar a sua detecção.

A empresa de cibersegurança Volexity descobriu o DISGOMOJI e associou-o a um grupo de hackers baseado no Paquistão conhecido como 'UTA0137'. O malware funciona de forma semelhante a outros backdoors e botnet, permitindo aos atacantes ter total controlo sobre os sistemas, podendo executar comandos, tirar capturas de ecrã, roubar ficheiros e efectuar acções adicionais.

O que distingue o DISGOMOJI é o seu uso do Discord e emojis para comando e controlo (C2). Este método poderá ter sido usado como forma de evitar a detecção por softwares de segurança que geralmente procuram comandos baseados em texto. Por exemplo, o emoji de um homem a correr serve para "correr" comandos remotamente, o emoji de uma câmara executa a função de captura de ecrã, etc.

Quando executado, o DISGOMOJI faz download de um PDF malicioso e de payloads adicionais, incluindo um script para procurar drives USB e roubar dados. O malware utiliza o projeto open-source discord-c2 para comunicar com os atacantes via emojis. Mantém a persistência usando o comando @reboot do cron e pode espalhar-se pela rede para roubar mais dados e credenciais.

Como o uso de emojis no Discord é uma actividade comum e, normalmente, não maliciosa, tornar-se-á mais complicado tentar diferenciar entre comunicações legítimas e comunicações maliciosas de controlo deste malware.