Le emoji come armi: apparentemente innocue e ampiamente utilizzate nelle comunicazioni quotidiane, possono essere utilizzate come armi per diffondere malware e comunicare con i server di comando e controllo (C2). Questo articolo analizzerà un caso specifico di una campagna di spionaggio informatico condotta da un gruppo di hacker pakistani, chiamato UTA0137, che utilizza un malware chiamato DISGOMOJI per infettare i sistemi basati su Linux.
Il malware DISGOMOJI: un caso di studio
Il malware DISGOMOJI è una versione modificata del progetto pubblico Discord-C2, che utilizza il messenger Discord per il controllo, inviando comandi dannosi tramite emoji. Scritto nel linguaggio Golang, DISGOMOJI è uno strumento di spionaggio all-in-one che BlackBerry ha scoperto nel maggio di quest’anno mentre analizzava l’infrastruttura associata al gruppo di hacker Transparent Tribe, con radici in Pakistan.
Metodi di attacco
Gli attacchi iniziano con e-mail di phishing contenenti un file eseguibile Golang ELF confezionato in un archivio ZIP. Questo file scarica un documento che, a sua volta, scarica silenziosamente il payload DISGOMOJI da un server remoto. Il malware è progettato per raccogliere informazioni sull’host ed eseguire comandi ricevuti da un server Discord controllato da un utente malintenzionato. Utilizza un sistema unico di comandi inviati tramite emoji.
Varianti e tattiche post-sfruttamento
Sono state individuate diverse varianti di DISGOMOJI, dotate di funzionalità come la fornitura di persistenza, la prevenzione dell’esecuzione di processi DISGOMOJI duplicati, l’ottenimento dinamico delle credenziali per connettersi al server Discord ed evitare analisi visualizzando informazioni false e messaggi di errore.
Il gruppo UTA0137 utilizza anche strumenti legittimi e open source come Nmap, Chisel e Ligolo per la scansione e il tunneling della rete, sfruttando la vulnerabilità DirtyPipe (CVE-2022-0847) per l’escalation dei privilegi sugli host Linux. Una tattica post-sfruttamento prevede l’utilizzo dell’utilità Zenity per visualizzare una finestra di dialogo dannosa mascherata da aggiornamento di Firefox, al fine di indurre gli utenti a fornire le loro password.
Consigli per la protezione
Per proteggersi da questo tipo di attacchi, le organizzazioni devono adottare le seguenti misure:
- Formazione del personale: Educare il personale a riconoscere e segnalare le e-mail di phishing sospette.
- Sicurezza delle e-mail: Implementare soluzioni di sicurezza delle e-mail che blocchino i file eseguibili e i download sospetti.
- Protezione endpoint: Implementare soluzioni di protezione endpoint che rilevino e blocchino il malware Golang.
- Monitoraggio della rete: Monitorare attivamente la rete per rilevare e rispondere agli attacchi.
- Aggiornamenti regolari: Mantenere aggiornati i sistemi operativi, i software e le patch di sicurezza.
- Soluzioni di sicurezza Discord: Implementare soluzioni di sicurezza Discord per monitorare e bloccare l’utilizzo dannoso del messenger.
- Sensibilizzazione alla sicurezza: Promuovere una cultura della sicurezza in cui la sicurezza informatica è considerata una responsabilità condivisa e non solo un compito IT.
Conclusione
Le emoji possono essere utilizzate come armi per diffondere malware e comunicare con i server di comando e controllo, come dimostrato dal caso del gruppo di hacker pakistani UTA0137 e del malware DISGOMOJI. Le organizzazioni devono aumentare la loro vigilanza contro i vettori di attacco non convenzionali e adottare misure proattive per proteggersi da queste minacce in continua evoluzione. Le emoji sono armi! Utilizzate per diffondere malware e comunicare con i C2, Red Hot Cyber, 18 giugno 2024, https://www.redhotcyber.com/post/le-emoji-sono-armi-utilizzate-per-diffondere-malware-e-comunicare-con-i-c2/
