Ce nouveau logiciel malveillant utilise les émojis de Discord pour voler des données
On a souvent l’impression qu’une fois qu’on a entendu parler d’un type de logiciel malveillant, on a entendu parler de la plupart d’entre eux. Mais lorsqu’un opérateur de logiciels malveillants commence à utiliser des emojis pour communiquer avec ses appareils infectés, il faut faire attention.
Découvert pour la première fois par l’entreprise de recherche en sécurité Volexity, le logiciel malveillant DISGOMOJI a un identifiant unique : il utilise des emojis Discord pour exécuter des commandes sur les appareils infectés.
Qu’est-ce que le logiciel malveillant DISGOMOJI ?
Volexity a découvert le logiciel malveillant DISGOMOJI en juin 2024, en le reliant à un groupe basé au Pakistan et identifié comme UTA0137.
Le logiciel malveillant cible les appareils Linux utilisant la distribution BOSS, principalement utilisée par les agences gouvernementales indiennes. Théoriquement, il pourrait être utilisé contre n’importe quelle distribution Linux et est écrit dans le langage de programmation adaptable Golang.
Cependant, la partie la plus intéressante de DISCOMOJI est son utilisation des emojis Discord pour contrôler les appareils infectés. Au lieu d’envoyer des commandes à l’aide de mots, comme c’est le cas pour la plupart des logiciels malveillants, l’opérateur de DISCOMOJI peut envoyer un emoji Discord spécifique pour déclencher une action.
Comment fonctionnent les logiciels malveillants contrôlés par emoji ?
Tout d’abord, le logiciel malveillant doit être installé pour que l’attaquant puisse prendre le contrôle de l’appareil cible. L’appareil cible reçoit un faux document contenant le fichier malveillant qui, une fois exécuté, télécharge le logiciel malveillant DISCOMOJI. Une fois lancé, DISCOMOJI vole des données de la machine cible, telles que les informations locales, les noms d’utilisateur, le nom d’hôte, le répertoire dans lequel le logiciel malveillant est installé et les données de tous les périphériques USB connectés.
Ensuite, le logiciel malveillant se connecte à un serveur Discord contrôlé par l’attaquant, téléphonant à la maison pour attendre de nouvelles instructions. Les attaquants utilisent ce qu’on appelle discord-c2 un projet de commande et de contrôle open-source qui utilise Discord comme point de contrôle pour les appareils infectés. Une fois que le logiciel malveillant se connecte au serveur Discord, l’attaquant peut utiliser une série d’emojis pour inviter le logiciel malveillant, avec une série de paramètres différents disponibles.
Les emojis Discord du logiciel malveillant sont résumés ci-dessous :
🏃♂️ | L’homme qui court | Exécuter une commande sur l’appareil de la victime. Cette commande reçoit un argument, qui est la commande à exécuter. |
📸 | Appareil photo avec flash | Faire une capture d’écran de la victime et la télécharger sur le canal de commande en tant que pièce jointe. |
👇 | Index du revers pointant vers le bas | Télécharger des fichiers à partir de l’appareil de la victime et les envoyer au canal de commande en tant que pièces jointes. Cette commande reçoit un argument, qui est le chemin d’accès au fichier. |
☝️ | Index pointant vers le haut | Télécharger un fichier sur l’appareil de la victime. Le fichier à télécharger est joint à cet emoji. |
👉 | Index du revers pointant vers la droite | Télécharger un fichier du périphérique de la victime vers Oshi (), un service de stockage de fichiers à distance. Cette commande reçoit un argument, qui est le nom du fichier à télécharger. |
👈 | Index de revers pointant vers la gauche | Télécharger un fichier depuis l’appareil de la victime vers , un service de partage de fichiers distant. Cette commande reçoit un argument, qui est le nom du fichier à télécharger. |
🔥 | Feu | Recherche et envoie tous les fichiers correspondant à une liste d’extensions prédéfinie et présents sur l’appareil de la victime. Les fichiers ayant les extensions suivantes sont exfiltrés : CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS, ZIP. |
🦊 | Renard | Zippez tous les profils Firefox présents sur l’appareil de la victime. Ces fichiers peuvent être récupérés ultérieurement par l’attaquant. |
💀 | Crâne | Terminer le processus du logiciel malveillant en utilisant . |
C’est mignon mais étrange de penser que les emojis que vous utilisez tous les jours sont utilisés pour contrôler les logiciels malveillants.
Les logiciels malveillants contrôlés par des émojis ont-ils un intérêt ?
En plus de le rendre plus convivial, l’utilisation d’emojis pour la commande et la communication pourrait aider le logiciel malveillant à rester indétecté plus longtemps. Il est certain que Discord pourrait avoir du mal à détecter que ses serveurs sont utilisés pour exécuter un projet C2 malveillant si tout ce qu’il fait est d’envoyer des emojis couramment utilisés.
La façon dont les jetons Discord sont gérés par le logiciel malveillant rend plus difficile l’action de Discord contre les serveurs de l’attaquant, car la configuration du client peut simplement être mise à jour par l’attaquant en cas de besoin.
Donc, si la persistance est le nom du jeu, l’utilisation d’emojis pourrait être utile.
Pour ce qui est de la sécurité, ce logiciel malveillant cible principalement une distribution Linux spécifique utilisée par les agences gouvernementales indiennes, ce qui signifie que la plupart des gens ordinaires n’ont pas à s’inquiéter. Néanmoins, gardez toujours vos appareils à jour, car vous ne savez jamais quelle menace pourrait apparaître.