DISGOMOJI: il nuovo malware che sfrutta Discord e le emoji

Volexity, una rinomata società di cybersicurezza, ha recentemente scoperto un nuovo malware chiamato DISGOMOJI, che si distingue per il suo innovativo uso degli emoji per eseguire comandi sui dispositivi infetti. Questo malware ha preso di mira specificamente le agenzie governative in India, utilizzando una combinazione di e-mail di phishing e piattaforme di comunicazione come Discord.

Il malware DISGOMOJI si diffonde principalmente tramite e-mail di phishing che contengono un archivio ZIP. Questo archivio include un eseguibile ELF compresso con UPX, pensato per colpire una distribuzione Linux personalizzata, nota come BOSS, utilizzata da diverse agenzie governative indiane. Una volta eseguito l'archivio, il malware mostra un PDF di esca che simula un modulo per i beneficiari del Defence Service Officer Provident Fund indiano, mascherando così la sua attività malevola.

In background, il malware scarica ulteriori payload, tra cui il core del malware DISGOMOJI e uno script di shell denominato "uevent_seqnum.sh". Questo script viene utilizzato per cercare ed esfiltrare dati da unità USB collegate al dispositivo infetto. DISGOMOJI raccoglie anche informazioni di sistema come indirizzo IP, nome utente, nome host, sistema operativo e directory di lavoro corrente, inviandole successivamente agli aggressori.

Gli hacker utilizzano Discord come piattaforma di comunicazione per impartire comandi ai dispositivi infetti, sfruttando nove emoji differenti per rappresentare nove comandi specifici. Questi comandi possono esfiltrare file, scattare screenshot, distribuire altri payload e cercare file particolari.

Come difendersi dal DISGOMOJI

DISGOMOJI assicura la sua persistenza utilizzando il comando cron "@reboot", garantendo così l'esecuzione automatica all'avvio del sistema. Le versioni successive del malware hanno adottato anche altre tecniche di persistenza, come le voci di avvio automatico XDG, per mantenere il controllo sui dispositivi infetti.

Il malware DISGOMOJI è particolarmente pericoloso per diverse ragioni. Innanzitutto, l'uso degli emoji per i comandi rende il malware più difficile da rilevare per i tradizionali software di sicurezza che si basano sul rilevamento di stringhe di testo. Inoltre, è estremamente efficace nel rubare informazioni sensibili, scattare screenshot e distribuire ulteriori payload, garantendo al contempo la sua persistenza nel sistema infetto.

Per proteggersi da DISGOMOJI, è fondamentale adottare alcune misure di sicurezza. Mantenere sempre aggiornati software e sistemi operativi riduce le vulnerabilità sfruttate dai malware. Utilizzare un software antivirus e anti-malware affidabile può aiutare a identificare e bloccare il malware prima che possa causare danni significativi.

Bisogna essere cauti con le e-mail di phishing, evitando di aprire allegati o cliccare su link provenienti da mittenti sconosciuti o sospetti. È inoltre essenziale mantenere backup regolari dei dati importanti per poterli recuperare in caso di attacco informatico. Infine, sensibilizzare gli utenti sui rischi informatici e su come riconoscere e segnalare attività sospette è cruciale per prevenire infezioni da malware.