Спеціалісти з безпеки розкрили хакерську схему, що дозволяє викрадати дані за допомогою емодзі

Дослідники з компанії Volex­i­ty виявили хакерську кампанію з Пакистану, що націлена на індійські державні установи. Вона використовує унікальну техніку передачі шкідливих команд через емодзі у месенджері Dis­cord.

Група, відома під кодовою назвою UTA0137, застосовує шкідливе програмне забезпечення DISGOMOJI, написане на мові програмування Golang. Це програмне забезпечення націлене на системи, що працюють на Lin­ux. DISGOMOJI є модифікованою версією публічного проекту Dis­cord-C2 і використовує емодзі для передачі команд, що дозволяє хакерам приховано управляти зараженими системами.

Атаки починаються з фішингових листів, що містять виконуваний файл Golang ELF, упакований у ZIP-архів. Цей файл завантажує невинний документ, одночасно приховано завантажуючи шкідливе ПЗ DISGOMOJI з віддаленого сервера. Після зараження система стає підконтрольною хакерам, які використовують Dis­cord для управління та виконання команд через емодзі.

DISGOMOJI збирає інформацію про хост і виконує команди, отримані з сервера Dis­cord, створюючи окремий канал для кожної жертви. Volex­i­ty також виявила варіації DISGOMOJI, що забезпечують стійкість, запобігають запуску дублюючих процесів, динамічно отримують облікові дані для підключення до сервера Dis­cord і уникають аналізу, відображаючи фальшиві інформаційні та помилкові повідомлення.