Un grupo de investigadores ha descubierto una nueva campaña de ciberespionaje asociada al actor malicioso UTA0137, con sede en Pakistán, que utiliza un ‘malware’ dirigido a sistemas operativos Linux, capaz de comunicarse con los dispositivos infectados y ejecutar comandos a través del uso de ‘emojis’ en Discord.
MIRA: Cuidado con las URL acortadas: ciberdelincuentes las emplean para disfrazar ‘malware’ y ejecutar ataques
El nuevo ‘malware’, al que se refieren como DISGOMOJI, actúa a través de Discord para robar información y archivos a las víctimas con el objetivo de espiar, específicamente, a entidades gubernamentales en la India.
Así lo ha dado a conocer la empresa de ciberseguridad Volexity, que ha identificado el uso de este nuevo ‘malware’ durante este año y ha compartido un análisis de la campaña de ciberespionaje, asociada al actor malicioso identificado bajo el alias UTA0137 y con sede en Pakistán.
En concreto, los ciberdelincuentes utilizan DISGOMOJI infectando los dispositivos a través de Discord y, una vez implementado, el ‘malware’ es capaz de ejecutar comandos, tomar capturas de pantalla, robar archivos e, incluso, implementar cargas adicionales de ‘sofware’ y buscar archivos.
Según han explicado los expertos en ciberseguridad, todo ello se consigue mediante el uso de ‘emojis’ como método de control, gracias a una versión modificada del proyecto público discord-c2, que utiliza el servicio de mensajería de la plataforma para comando y control (C2). Este sistema puede permitir eludir el ‘software’ de seguridad del sistema, ya que busca comandos maliciosos basados en texto, no en ‘emojis’.
Por ejemplo, tal y como han detallado en su web, el ‘emoji’ de un hombre corriendo permite ejecutar un comando en el dispositivo de la víctima, igualmente, una cámara con flash toma una captura de pantalla y la carga en el canal de comando, por su parte, una mano señalando hacia abajo, ordena descargar archivos del dispositivo de la víctima y cargarlos en el canal de comando como archivos adjuntos.
Además de los comentados anteriormente, en total, se utilizan hasta 9 ‘emojis’ distintos, que incluyen el fuego, el zorro, la calavera y manos señalando hacia los lados y hacia arriba y abajo.
En el caso de Volexity, el ‘malware’ fue descubierto por primera vez tras descargar un archivo estándar ejecutable ELF, procedente de una fuente de ‘phishing’. Este archivo permitía descargar un archivo benigno a modo de “señuelo” bajo el acrónimo de Fondo de Previsión para Oficiales del Servicio de Defensa de la India (DSOP).
Tras ello, el ‘malware’ descargó su carga útil denominándola ‘vmcoreinfo’ desde un servidor remoto. Esta carga es en sí el ‘malware’ DISGOMOJI, y se colocó en una carpeta oculta denominada .x86_64-linux-gnuen, en el dispositivo.
Además de todo ello, dentro del archivo ELF, los ciberdelincuentes también incluyen un token de autenticación y una identificación del servidor codificados, que utilizan para acceder al servidor de Discord y crear un canal dedicado. Una vez creado, los ciberdelincuentes pueden atacar a más víctimas utilizando su propio canal en la plataforma.
Por otra parte, según Volexity, los ciberdelincuentes identificaron que, habitualmente, las autoridades gubernamentales de la India utilizan una distribución de Linux personalizada llamada BOSS. Por lo que enfocaron los ataques a este tipo de sistema para conseguir llegar de forma más eficaz a sus presuntas víctimas.
“Volexity evalúa con alta confianza que UTA0137 tiene objetivos relacionados con el espionaje y un mandato para apuntar a entidades gubernamentales en la India”, han detallado los ciberexpertos, al tiempo que ha matizado que, según su análisis, las campañas de UTA0137 parecen haber tenido éxito”. Es decir, según han subrayado UTA0137 ha conseguido infectar a varias víctimas, aunque el análisis de la compañía de ciberseguridad no detalla cuantas.
Con todo ello, los expertos en ciberseguridad han subrayado que, una vez los ciberdelincuentes obtienen acceso a los dispositivos infectados, pueden propagarse a otros usuarios, robar datos e información e, incluso credenciales adicionales a otros servicios, con el objetivo de continuar el espionaje.
Respuestas
