Insérer l’emoji « feu » pour rechercher et voler des fichiers portant une extension pré-déterminée. Pour faire une capture d’écran chez la victime, saisir l’émoji « appareil photo ». Enfin, pour arrêter le programme malveillant, entrer l’émoji « tête de mort ». La société de cybersécurité Volexity vient d’identifier un malware assez particulier, baptisé Disgomoji.
Ce dernier est en effet contrôlé à distance via la publication d’emojis sur un canal d’un serveur Discord contrôlé par l’attaquant! Volexity a ainsi identifié neuf emojis différents qui permettent d’activer le programme malveillant, qui peut faire donc des screenshots, voler des données des données ou déployer d’autres malwares.
.@Volexity analyzes #DISGOMOJI 🔥, Discord-based malware 💀 using emojis for C2. #DISGOMOJI is used by #UTA0137, a suspected Pakistan-based threat actor. Read the full analysis here: https://t.co/HnBPlDaP7k#dfir #threatintel
— Volexity (@Volexity) June 13, 2024
Démarche maligne
L’utilisation insolite des emojis semble plutôt maligne. Elle permet en effet de contourner les logiciels de sécurité qui rechercheraient des commandes textuelles, rappelle Bleeping computer. Écrit en Golang et compilé pour des systèmes Linux, le programme malveillant vise des entités gouvernementales en Inde, plus précisement des ordinateurs utilisant la distribution Linux Boss.
Pour l’entreprise Volexity, le malware aurait été mis en œuvre dans le cadre d’une campagne d’espionnage venue du Pakistan voisin. Plusieurs indices permettent aux chercheurs d’arriver avec une « confiance modérée » à cette conclusion.
Le fuseau horaire pakistanais était codé dans un échantillon du malware, il existe des liens d’infrastructure avec un acteur malveillant basé au Pakistan, SideCopy, le Pendjabi a été utilisé et les organisation visées semblent correspondre aux intérêts pakistanais.
Programme open source
La société de cybersécurité n’a pas observé pour l’instant d’autres utilisations de Disgomoji. Ce malware est en réalité une variante malveillante du programme open source de commande et de contrôle Discord-c2. Comme le précise Volexity, l’infection d’une victime va entraîner la création d’un canal dédié sur le serveur de l’attaquant.
Une fois lancé, il affiche comme premières informations l’adresse IP, le nom d’utilisateur, le nom de l’hôte, son système d’exploitation et son répertoire de travail actuel.
Le malware est programmé pour copier le contenu de périphériques USB connectés, une façon de pouvoir ensuite voler ces données. Et bien sûr, il est persistant. De quoi donner envie aux experts en sécurité de taper l’un des émojis « sueurs froides ».