Advertentie
Een nieuwe malware genaamd DISGOMOJI gebruikt een bijzondere methode om malware aan te sturen op de computer van het slachtoffer. De malware wordt namelijk bestuurd door emoji te verzenden op Discord. DISGOMOJI infecteert Linux-systemen en heeft tot nu toe op computers van verschillende Indiase overheidsinstellingen grote schade aangericht.
Zoals gemeld in zijn blogpost, schrijft IT-beveiligingsbedrijf Volexity dat de malware aanvallers in staat stelt opdrachten uit te voeren, naar bestanden te zoeken en deze te stelen of screenshots van te maken. Het programma is vergelijkbaar met andere software die wordt gebruikt bij backdoor- of botnetaanvallen. Nieuw is echter dat het Discord en zijn emoji gebruikt als commando- en controleplatform (C2), oftewel ze worden bestuurd door de kleine symbolen.
Wanneer de malware wordt uitgevoerd, downloadt deze meerdere pakketten naar de computer van het slachtoffer. Naast DISGOMOJI is er ook een shellscript genaamd 'uevent_seqnum.sh' waarmee aanvallers bestanden kunnen stelen van via usb aangesloten opslagapparaten. Wanneer DISGOMOJI wordt geactiveerd, haalt de malware informatie op zoals het ip-adres, de gebruikersnaam, de hostnaam, het type besturingssysteem en de huidige werkmap.
Het programma wordt bestuurd met het open source project discord-c2. Hierdoor kun je communiceren met geïnfecteerde apparaten via discord en zijn emoji. De malware maakt verbinding met een Discord-server die wordt beheerd door de aanvaller. DISGOMOJI wacht op nieuwe berichten in het commandokanaal op de Discord-server. C2-communicatie vindt plaats via een op emoji gebaseerd protocol, waarbij de aanvaller commando’s naar de malware stuurt door emoji naar het commandokanaal te sturen, eventueel met aanvullende parameters die de emoji volgen.
