Cảnh báo: Malware DISGOMOJI mới sử dụng emoji Discord để đánh cắp dữ liệu!

Lần đầu tiên được phát hiện bởi hãng nghiên cứu bảo mật Volexity, phần mềm độc hại DISGOMOJI có thể sử dụng emoji Discord để thực thi lệnh trên các thiết bị bị nhiễm.

Phần mềm độc hại DISGOMOJI là gì?

Volexity đã phát hiện ra phần mềm độc hại DISGOMOJI vào tháng 6 năm 2024, liên kết nó với một nhóm có trụ sở tại Pakistan được theo dõi là UTA0137.

Phần mềm độc hại nhắm vào các thiết bị Linux sử dụng bản phân phối BOSS, chủ yếu được sử dụng bởi các cơ quan chính phủ Ấn Độ. Tuy nhiên, về mặt lý thuyết, nó có thể được sử dụng để chống lại bất kỳ bản phân phối Linux nào và viết bằng ngôn ngữ lập trình Golang có khả năng thích ứng.

Tuy nhiên, phần thú vị nhất của DISCOMOJI là việc sử dụng emoji Discord để kiểm soát các thiết bị nhiễm virus. Thay vì gửi lệnh bằng từ ngữ như bạn thấy với hầu hết phần mềm độc hại, kẻ vận hành DISCOMOJI có thể gửi emoji Discord cụ thể để thực hiện hành động.

Phần mềm độc hại kiểm soát bằng emoji này hoạt động như thế nào?

Đầu tiên, phần mềm độc hại phải được cài đặt để kẻ tấn công giành quyền kiểm soát thiết bị mục tiêu. Thiết bị mục tiêu được gửi một tài liệu giả mạo chứa file độc hại, khi được thực thi, file này sẽ tải xuống phần mềm độc hại DISCOMOJI. Khi khởi chạy, DISCOMOJI đánh cắp dữ liệu từ máy mục tiêu, chẳng hạn như thông tin cục bộ, tên người dùng, tên máy chủ, thư mục cài đặt phần mềm độc hại và dữ liệu từ mọi thiết bị USB được kết nối.

Sau đó, phần mềm độc hại kết nối với máy chủ Discord do kẻ tấn công kiểm soát, gọi về để chờ hướng dẫn mới. Những kẻ tấn công sử dụng thứ gọi là discord-c2, một dự án lệnh và kiểm soát nguồn mở sử dụng Discord làm điểm kiểm soát các thiết bị bị nhiễm. Sau khi phần mềm độc hại kết nối với máy chủ Discord, kẻ tấn công có thể sử dụng nhiều emoji để nhắc nhở phần mềm độc hại, với một chuỗi các thông số khác nhau có sẵn.

Emoji Discord mà phần mềm độc hại này sử dụng được tóm tắt dưới đây:

Emoji

Tên emoji

Mô tả lệnh

🏃‍♂️

Man Running (Người đang chạy)

Thực thi một lệnh trên thiết bị của nạn nhân. Lệnh này nhận được một đối số, đó là lệnh để thực thi.

📸

Camera with Flash (Máy ảnh có đèn flash)

Chụp ảnh màn hình của nạn nhân và upload nó lên kênh lệnh dưới dạng file đính kèm.

👇

Backhand Index Pointing Down (Tay chỉ xuống)

Tải xuống các file từ thiết bị của nạn nhân và upload chúng lên kênh lệnh dưới dạng file đính kèm. Lệnh này nhận được một đối số, đó là đường dẫn của file.

☝️

Index Pointing Up (Tay chỉ lên)

Upload một file vào thiết bị của nạn nhân. File cần upload được đính kèm cùng với emoji này.

👉

Backhand Index Pointing Right (Tay chỉ sáng phải)

Upload một file từ thiết bị của nạn nhân tới Oshi (oshi[.]at), một dịch vụ lưu trữ file từ xa. Lệnh này nhận được một đối số, đó là tên của file cần upload.

👈

Backhand Index Pointing Left (Tay chỉ sang trái)

Upload một file từ thiết bị của nạn nhân đến transfer[.]sh, một dịch vụ chia sẻ file từ xa. Lệnh này nhận được một đối số, đó là tên của file cần upload.

🔥

Fire (Lửa)

Tìm và gửi tất cả các file khớp với danh sách tiện ích mở rộng được xác định trước có trên thiết bị của nạn nhân. Các file có phần mở rộng sau sẽ được lọc: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS, ZIP

🦊

Fox (Con cáo)

Nén tất cả profile Firefox trên thiết bị của nạn nhân. Kẻ tấn công có thể lấy lại những file này sau đó.

💀

Skull (Đầu lâu)

Chấm dứt tiến trình phần mềm độc hại bằng cách sử dụng os.Exit().

Việc những emoji bạn sử dụng hàng ngày lại đang được dùng để kiểm soát phần mềm độc hại thật đáng sợ.

Có bất kỳ điểm nào đối với phần mềm độc hại được kiểm soát bằng emoji không?

Ngoài việc làm cho nó thân thiện hơn với người dùng, việc sử dụng emoji để ra lệnh và liên lạc có thể giúp phần mềm độc hại không bị phát hiện trong thời gian dài hơn. Chắc chắn, Discord có thể gặp khó khăn trong việc phát hiện rằng các máy chủ của nó đang được sử dụng để chạy dự án C2 độc hại, nếu tất cả những gì được làm là gửi các emoji thường được sử dụng.

Cách phần mềm độc hại quản lý token Discord khiến Discord khó hoạt động chống lại máy chủ của kẻ tấn công hơn vì kẻ tấn công có thể chỉ cần cập nhật cấu hình client khi được yêu cầu.

Để giữ an toàn, phần mềm độc hại này chủ yếu nhắm vào một bản phân phối Linux cụ thể được sử dụng trong các cơ quan chính phủ Ấn Độ, điều đó có nghĩa là hầu hết những người bình thường không có gì phải lo lắng. Tuy nhiên, hãy luôn cập nhật thiết bị vì bạn không bao giờ biết mối đe dọa nào có thể xuất hiện tiếp theo.

Thứ Ba, 02/07/2024 09:34
51 👨 213
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng