Un grupo de investigadores ha descubierto una nueva campaña de ciberespionaje asociada a UTA0137, con sede en Pakistán, que utiliza un malware dirigido a sistemas operativos Linux, capaz de comunicarse con los dispositivos infectados y ejecutar comandos a través del uso de emojis en Discord.
Discord es una aplicación gratuita de comunicación que permite usar chat de voz, video y texto entre usuarios; es especialmente usada por comunidades de videojugadores. Aprovechando este escenario, el nuevo malware, al que se refieren como DISGOMOJI, actúa a través de la plataforma para robar información y archivos a las víctimas con el objetivo de espiar
Así lo ha dado a conocer la empresa de ciberseguridad Volexity, que ha identificado el uso de este nuevo malware durante este año y ha compartido un análisis de la campaña de ciberespionaje, asociada al actor malicioso identificado bajo el alias UTA0137 y con sede en Pakistán.
En concreto, los ciberdelincuentes utilizan DISGOMOJI infectando los dispositivos a través de Discord y, una vez implementado, el malware es capaz de ejecutar comandos, tomar capturas de pantalla, robar archivos e, incluso, implementar cargas adicionales de software y buscar archivos.
Según han explicado los expertos en ciberseguridad, todo ello se consigue mediante el uso de emojis como método de control, gracias a una versión modificada del proyecto público discord-c2, que utiliza el servicio de mensajería de la plataforma para comando y control (C2). Este sistema puede permitir eludir el software de seguridad del sistema, ya que busca comandos maliciosos basados en texto, no en ‘emojis’.
Por ejemplo, tal y como han detallado en su web, el emoji de un hombre corriendo permite ejecutar un comando en el dispositivo de la víctima; igualmente, una cámara con flash toma una captura de pantalla y la carga en el canal de comando. Por su parte, una mano señalando hacia abajo ordena descargar archivos del dispositivo de la víctima y cargarlos en el canal de comando como archivos adjuntos.
Además de los comentados anteriormente, en total, se utilizan hasta nueve emojis, que incluyen el fuego, el zorro, la calavera y manos señalando hacia los lados y hacia arriba y abajo.
Un archivo ejecutable es la clave de la trampa
En el caso de Volexity, el malware fue descubierto por primera vez tras descargar un archivo estándar ejecutable ELF, procedente de una fuente de phishing. Este archivo permitía descargar un archivo benigno a modo de “señuelo” bajo el acrónimo de Fondo de Previsión para Oficiales del Servicio de Defensa de la India (DSOP).
Tras ello, el malware descargó su carga útil denominándola ‘vmcoreinfo’ desde un servidor remoto. Esta carga es en sí el malware DISGOMOJI, y se colocó en una carpeta oculta denominada .x86_64-linux-gnuen, en el dispositivo.
Además, dentro del archivo ELF, los ciberdelincuentes incluyen un token de autenticación y una identificación del servidor codificados, que utilizan para acceder al servidor de Discord y crear un canal dedicado. Una vez creado, los ciberdelincuentes pueden atacar a más víctimas utilizando su propio canal en la plataforma.
Por otra parte, según Volexity, los ciberdelincuentes identificaron que, habitualmente, las autoridades gubernamentales de la India utilizan una distribución de Linux personalizada llamada BOSS. Enfocaron los ataques a este tipo de sistema para conseguir llegar de forma más eficaz a sus presuntas víctimas.
“Volexity evalúa con alta confianza que UTA0137 tiene objetivos relacionados con el espionaje y un mandato para apuntar a entidades gubernamentales en la India”, han detallado los ciberexpertos, al tiempo que ha matizado que, según su análisis, las campañas de UTA0137 parecen haber tenido éxito”.
Es decir, según han subrayado, UTA0137 ha conseguido infectar a varias víctimas, aunque el análisis de la compañía de ciberseguridad no detalla cuantas.
Con todo ello, los expertos en ciberseguridad han subrayado que, una vez los ciberdelincuentes obtienen acceso a los dispositivos infectados, pueden propagarse a otros usuarios, robar datos e información e, incluso credenciales adicionales a otros servicios, con el objetivo de continuar el espionaje.
Con información de Europa Press