Спеціалісти з безпеки розкрили хакерську схему, що дозволяє викрадати дані за допомогою емодзі

Дослідники з компанії Volexity виявили хакерську кампанію з Пакистану, що націлена на індійські державні установи. Вона використовує унікальну техніку передачі шкідливих команд через емодзі у месенджері Discord.

Група, відома під кодовою назвою UTA0137, застосовує шкідливе програмне забезпечення DISGOMOJI, написане на мові програмування Golang. Це програмне забезпечення націлене на системи, що працюють на Linux. DISGOMOJI є модифікованою версією публічного проекту Discord-C2 і використовує емодзі для передачі команд, що дозволяє хакерам приховано управляти зараженими системами.

Атаки починаються з фішингових листів, що містять виконуваний файл Golang ELF, упакований у ZIP-архів. Цей файл завантажує невинний документ, одночасно приховано завантажуючи шкідливе ПЗ DISGOMOJI з віддаленого сервера. Після зараження система стає підконтрольною хакерам, які використовують Discord для управління та виконання команд через емодзі.

DISGOMOJI збирає інформацію про хост і виконує команди, отримані з сервера Discord, створюючи окремий канал для кожної жертви. Volexity також виявила варіації DISGOMOJI, що забезпечують стійкість, запобігають запуску дублюючих процесів, динамічно отримують облікові дані для підключення до сервера Discord і уникають аналізу, відображаючи фальшиві інформаційні та помилкові повідомлення.