Recherche de site Web

Ce nouveau logiciel malveillant utilise des émojis Discord pour voler des données


Liens rapides

  • Qu'est-ce que le logiciel malveillant DISGOMOJI ?
  • Comment fonctionnent les logiciels malveillants contrôlés par Emoji ?
  • Les logiciels malveillants contrôlés par Emoji ont-ils un intérêt ?

On a souvent l’impression qu’une fois que vous avez entendu parler d’un type de malware, vous en avez entendu parler de la plupart. Mais ensuite, un opérateur de malware commence à utiliser des emojis pour communiquer avec ses appareils infectés, et vous devez y prêter attention.

Découvert pour la première fois par le groupe de recherche en sécurité Volexity, le malware DISGOMOJI possède un identifiant unique : il utilise les emojis Discord pour exécuter des commandes sur les appareils infectés.

Qu'est-ce que le logiciel malveillant DISGOMOJI ?

Volexity a découvert le malware DISGOMOJI en juin 2024, le reliant à un groupe basé au Pakistan suivi sous le nom d'UTA0137.

Le malware cible les appareils Linux utilisant la distribution BOSS, principalement utilisée par les agences gouvernementales indiennes. Théoriquement, cependant, il pourrait être utilisé sur n'importe quelle distribution Linux et est écrit dans le langage de programmation adaptable Golang.

Cependant, la partie la plus intéressante de DISCOMOJI est son utilisation des émojis Discord pour contrôler les appareils infectés. Au lieu d'envoyer des commandes à l'aide de mots, comme c'est le cas avec la plupart des logiciels malveillants, l'opérateur DISCOMOJI peut envoyer un emoji Discord spécifique pour inciter à une action.

Comment fonctionnent les logiciels malveillants contrôlés par Emoji ?

Tout d’abord, le malware doit être installé pour que l’attaquant puisse prendre le contrôle de l’appareil cible. L'appareil cible reçoit un faux document contenant le fichier malveillant qui, une fois exécuté, télécharge le malware DISCOMOJI. Une fois lancé, DISCOMOJI vole les données de la machine cible, telles que ses informations locales, ses noms d'utilisateur, son nom d'hôte, le répertoire dans lequel le malware est installé et les données de tous les périphériques USB connectés.

Ensuite, le malware se connecte à un serveur Discord contrôlé par l’attaquant et téléphone à son domicile pour attendre de nouvelles instructions. Les attaquants utilisent quelque chose appelé discord-c2, un projet de commande et de contrôle open source qui utilise Discord comme point de contrôle pour les appareils infectés. Une fois que le malware se connecte au serveur Discord, l'attaquant peut utiliser une gamme d'emojis pour inviter le malware, avec une chaîne de différents paramètres disponibles.

Les emojis du malware Discord sont résumés ci-dessous :

Emoji

Emoji Name

Command Description

🏃‍♂️

Man Running

Execute a command on the victim's device. This command receives an argument, which is the command to execute.

📸

Camera with Flash

Take a screenshot of the victim's screen and upload it to the command channel as an attachment.

👇

Backhand Index Pointing Down

Download files from the victim's device and upload them to the command channel as attachments. This command receives one argument, which is the path of the file.

☝️

Index Pointing Up

Upload a file to the victim's device. The file to upload is attached along with this emoji.

👉

Backhand Index Pointing Right

Upload a file from the victim's device to Oshi (oshi[.]at), a remote file-storage service. This command receives an argument, which is the name of the file to upload.

👈

Backhand Index Pointing Left

Upload a file from the victim's device to transfer[.]sh, a remote file-sharing service. This command receives an argument, which is the name of the file to upload.

🔥

Fire

Find and send all files matching a pre-defined extension list that are present on the victim's device. Files with the following extensions are exfiltrated: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS, ZIP

🦊

Fox

Zip all Firefox profiles on the victim's device. These files can be retrieved by the attacker at a later time.

💀

Skull

Terminate the malware process using os.Exit().

C'est mignon mais étrange de penser que les emojis que vous utilisez quotidiennement servent à contrôler les logiciels malveillants.

Les logiciels malveillants contrôlés par Emoji ont-ils un intérêt ?

En plus de le rendre plus convivial, l’utilisation d’émojis pour les commandes et la communication pourrait aider les logiciels malveillants à rester indétectés plus longtemps. Certes, Discord peut avoir du mal à détecter que ses serveurs sont utilisés pour exécuter un projet C2 malveillant s'il ne fait qu'envoyer des emojis couramment utilisés.

La façon dont les jetons Discord sont gérés par le logiciel malveillant rend plus difficile pour Discord d'agir contre les serveurs de l'attaquant, car la configuration du client peut simplement être mise à jour par l'attaquant lorsque cela est nécessaire.

Donc, si la persévérance est le nom du jeu, l’utilisation d’émojis pourrait être utile.

En ce qui concerne la sécurité, ce malware cible principalement une distribution Linux spécifique utilisée dans les agences gouvernementales indiennes, ce qui signifie que la plupart des gens ordinaires n'ont rien à craindre. Néanmoins, gardez toujours vos appareils à jour, car vous ne savez jamais quelle menace pourrait apparaître ensuite.