El malware se comunica y ejecuta comandos mediante emojis en Discord, lo que le permite evadir los sistemas de seguridad tradicionales que buscan comandos de texto. Emplea hasta nueve emojis diferentes para diversas funciones, como capturar pantallas o descargar archivos. Además, puede robar información y documentos a los afectados con la finalidad de espiar a entidades de la India. Entre los emojis utilizados están el hombre corriendo, una cámara con flash que toma capturas de pantalla, el de fuego, el zorro, la calavera y las manos señalando hacia arriba, abajo, izquierda y derecha.
¿Cómo funciona?
El malware se propaga principalmente a través de técnicas de phishing, disfrazándose como archivos legítimos. Una vez instalado, establece comunicación con un servidor remoto utilizando Discord para controlar los dispositivos infectados. La versión modificada del proyecto público Discord-c2 está relacionada con la aparición de este phishing, porque los atacantes han conseguido adaptar este proyecto para crear el malware DISGOMOJI.
El virus se encontró tras descargar un archivo sin virus a modo de trampa, con el nombre de «Fondo de Previsión para Oficiales del Servicio de Defensa de la India». Ahí, el malware se introduce en el dispositivo, que permite acceder a la plataforma y atacar a usuarios bajo un canal creado por los ciberdelincuentes. Además, los atacantes añaden un token de autenticación e identificación codificado, que emplean para entrar al servidor y atacar desde el canal creado por ellos.
Discord-c2 es una herramienta de código abierto utilizada para pruebas de seguridad y simulación de ataques cibernéticos. En este caso, los ciberdelincuentes han modificado esta herramienta para establecer canales de comunicación entre los dispositivos infectados y los servidores de comando y control a través de Discord, usando emojis para evadir la detección de sistemas de seguridad.
El éxito de este malware en Discord
La empresa de ciberseguridad Volexity ha subrayado que UTA0137 ha tenido éxito en sus campañas de espionaje, apuntando principalmente a sistemas Linux personalizados utilizados por el gobierno indio. «Volexity evalúa con alta confianza que UTA0137 tiene objetivos relacionados con el espionaje y un mandato para apuntar a entidades gubernamentales en la India. Las campañas parecen haber tenido éxito», confirman.
Los descubridores advierten sobre la sofisticación y el potencial daño de esta nueva amenaza. Además, alertan de que se puede extender a otros usuarios de la plataforma desde dispositivos infectados. Esto podría ocasionar robo de datos, contraseñas y otras informaciones.
