Nedavno pronađeni Linux malware nazvan ‘DISGOMOJI‘ koristi prilično inovativan pristup korištenja emojija za izvršavanje naredbi na zaraženim uređajima. Malware je sličan mnogim drugim backdoorima/botnetima koji se koriste u različitim napadima i omogućava napadaču izvršavanje naredbi, snimanje zaslona, krađu datoteka, dodavanje dodatnih sadržaja i pretraživanje datoteka. Međutim, činjenica da koristi Discord i emojije kao platforme za upravljanje i kontrolu ga izdvaja od ostalih i omogućava mu da zaobiđe sigurnosni software koji traži konkretne tekstualne naredbe.
Malware je otkriven nakon što su istraživači uočili „executable“ ELF datoteku u jednom ZIP arhivu, vjerojatno distribuiranog phishing e-poštom. Vjeruje se da se malware usmjerava na konkretnu Linux distribuciju pod nazivom BOSS, međutim lako se može koristiti i u napadima na druge Linux distribucije.
Prilikom pokretanja, malware će u pozadini preuzeti dodatne datoteke, uključujući DISGOMOJI i „shell“ skriptu koja se koristi za pretraživanje USB diskova i krađu podataka s njih. Kada se pokrene DISGOMOJI, malware će izvući informacije o sustavu s računala, uključujući IP adresu, korisničko ime, naziv računala, operativni sustav te trenutni radni direktorij i sve poslati napadačima. Za kontrolu malwarea, napadači koriste open-source projekt za upravljanje i kontrolu imena „discord-c2“ koji koristi Discord i emojije za komunikaciju i izvršavanje naredbi na zaraženim uređajima. Malware će se povezati na Discord server pod kontrolom napadača i čekati da napadači „istipkaju“ emojije u kanal.
Dok DISGOMOJI izvršava naredbu, reagira emojijem u obliku sata unutar poruke s naredbom kako bi obavijestio napadača da se naredba upravo izvršava. Čim se naredba u potpunosti izvrši, sat se uklanja, a dodaje se reakcija “Check mark”, odnosno „kvačica“ kako bi se potvrdilo izvršenje naredbe.
Malware se održava na Linux uređaju koristeći „@reboot cron“ naredbu za pokretanje prilikom „bootanja“ uređaja. Nakon što je uređaj ugrožen, napadači koriste pristup za krađu dostupnih podataka i pokušaj krađe dodatnih informacija od ciljanih korisnika.
Iako se ovo može činiti „smiješnom“ novosti u svijetu malwarea, činjenica da ovaj pristup zaobilazi detekciju standardnim sigurnosnim softverom koji obično traži „string“ naredbe čini ga zanimljivim i svakako vrijednim pažnje.
Piše: Niko Barbarić
