Linux-Malware: Emojis auf Discord als Steuerzentrale genutzt
Die Malware mit dem Namen DISGOMOJI nutzt eine kreative Methode, um Befehle auf den Rechnern der Opfer auszuführen. Die Schadsoftware wird dabei über das Versenden von Emojis auf Discord gesteuert.
Das bösartige Programm, dass auf den Namen DISGOMOJI getauft wurde, infiziert Linux Systeme und wird mittel Emojis gesteuert, die über Discord gesendet werden. Auf diesem Weg haben Hacker die Rechner mehrerer indischer Regierungseinrichtungen infiziert und ihr Unwesen getrieben.
Wenn die Schadsoftware ausgeführt wird, lädt sie mehrere Pakete auf den Rechner des Opfers. Neben DISGOMOJI ist auch ein Shell Skript namens 'uevent_seqnum.sh' dabei, dass es den Angreifern ermöglicht, Dateien von über USB verbundenen Datenträgern zu stehlen. Wird DISGOMOJI aktiviert, extrahiert die Malware Informationen wie die IP-Adresse, den Benutzernamen, den Hostnamen, die Art des Betriebssystems und das aktuelle Arbeitsverzeichnis.
Volexity schreibt dazu: "DISGOMOJI wartet auf neue Nachrichten im Befehlskanal auf dem Discord-Server. Die C2-Kommunikation erfolgt über ein Emoji-basiertes Protokoll, bei dem der Angreifer Befehle an die Malware sendet, indem er Emojis an den Befehlskanal schickt, gegebenenfalls mit zusätzlichen Parametern, die dem Emoji folgen."
Folgende Emojis kommen dabei zum Einsatz:
Obwohl Emojis eine ungewohnte und sogar niedliche Art sind, eine Schadsoftware zu kontrollieren, sollte man nicht die Gefahr unterschätzen. Mit dieser Methode lassen sich immerhin Sicherheitschecks umgehen, die etwa nur nach textbasierten Befehlen Ausschau halten.
Siehe auch:
Malware über Emojis gesteuert
Es gibt unzählige Möglichkeiten, Computer mit Schadsoftware zu infizieren und diese dann zu steuern, um etwa Daten zu extrahieren oder Prozesse auszuführen. Jetzt wurde jedoch eine Malware entdeckt, die mit einer besonders kreativen Methode daherkommt.Das bösartige Programm, dass auf den Namen DISGOMOJI getauft wurde, infiziert Linux Systeme und wird mittel Emojis gesteuert, die über Discord gesendet werden. Auf diesem Weg haben Hacker die Rechner mehrerer indischer Regierungseinrichtungen infiziert und ihr Unwesen getrieben.
Daten auslesen und Dateien klauen
Wie die IT-Sicherheitsfirma Volexity auf ihrem Blog schreibt, erlaubt es die Schadsoftware den Angreifern Befehle auszuführen, nach Dateien zu suchen und sie zu klauen oder Screenshots anzufertigen. Im Prinzip ist das Programm also ähnlich zu anderer in Backdoor- oder Botnet-Attacken verwendeter Software. Neu ist allerdings, dass sie Discord und dessen Emojis als Command and Control-Plattform (C2) verwendet, also über die kleinen bunten Symbole im Messenger gesteuert wird.Wenn die Schadsoftware ausgeführt wird, lädt sie mehrere Pakete auf den Rechner des Opfers. Neben DISGOMOJI ist auch ein Shell Skript namens 'uevent_seqnum.sh' dabei, dass es den Angreifern ermöglicht, Dateien von über USB verbundenen Datenträgern zu stehlen. Wird DISGOMOJI aktiviert, extrahiert die Malware Informationen wie die IP-Adresse, den Benutzernamen, den Hostnamen, die Art des Betriebssystems und das aktuelle Arbeitsverzeichnis.
Discord als Zentrale
Gesteuert wird das Programm dabei mit dem Open Source Project discord-c2. Damit lässt sich über Discord und dessen Emojis mit infizierten Geräten kommunizieren. Die Malware stellt eine Verbindung zu einem vom Angreifer kontrollierten Discord-Server her und wartet darauf, dass die Hacker Emojis in den Kanal eingeben.Volexity schreibt dazu: "DISGOMOJI wartet auf neue Nachrichten im Befehlskanal auf dem Discord-Server. Die C2-Kommunikation erfolgt über ein Emoji-basiertes Protokoll, bei dem der Angreifer Befehle an die Malware sendet, indem er Emojis an den Befehlskanal schickt, gegebenenfalls mit zusätzlichen Parametern, die dem Emoji folgen."
Folgende Emojis kommen dabei zum Einsatz:
| Emoji | Emoji Name | Befehlsbeschreibung |
|---|---|---|
| 🏃♂️ | Laufender Mann | Führe einen Befehl auf dem Gerät des Opfers aus. Dieser Befehl erhält ein Argument, bei dem es sich um den auszuführenden Befehl handelt. |
| 📸 | Fotoapparat mit Blitz | Mache einen Screenshot des Bildschirms des Opfers und lade ihn als Anhang in den Befehlskanal hoch. |
| 👇 | Nach unten weisender Zeigefinger | Lade Dateien vom Gerät des Opfers herunter und lade sie als Anhänge in den Befehlskanal hoch. Dieser Befehl erhält ein Argument, nämlich den Pfad der Datei. |
| ☝️ | Nach oben weisender Zeigefinger von vorn | Lade eine Datei auf das Gerät des Opfers hoch. Die hochzuladende Datei ist zusammen mit diesem Emoji angehängt. |
| 👉 | Nach rechts weisender Zeigefinger | Lade eine Datei vom Gerät des Opfers auf Oshi (oshi[.]at) hoch, einen Remote-Dateispeicherdienst. Dieser Befehl erhält ein Argument, das den Namen der hochzuladenden Datei angibt. |
| 👈 | Nach links weisender Zeigefinger | Lade eine Datei vom Gerät des Opfers zu transfer[.]sh hoch, einen Remote-Dateifreigabedienst. Dieser Befehl erhält ein Argument, das den Namen der hochzuladenden Datei angibt. |
| 🔥 | Feuer | Finde und sende alle Dateien, die einer vordefinierten Erweiterungsliste entsprechen und sich auf dem Gerät des Opfers befinden. Es werden Dateien mit den folgenden Erweiterungen exfiltriert: CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS, ZIP |
| 🦊 | Fuchs | Zippe alle Firefox-Profile auf dem Gerät des Opfers. Diese Dateien können vom Angreifer zu einem späteren Zeitpunkt abgerufen werden. |
| 💀 | Totenkopf | Beende den Malware-Prozess mit os.Exit(). |
Obwohl Emojis eine ungewohnte und sogar niedliche Art sind, eine Schadsoftware zu kontrollieren, sollte man nicht die Gefahr unterschätzen. Mit dieser Methode lassen sich immerhin Sicherheitschecks umgehen, die etwa nur nach textbasierten Befehlen Ausschau halten.
Zusammenfassung
- DISGOMOJI infiziert Linux Systeme und wird über Emojis auf Discord gesteuert
- Hacker nutzen DISGOMOJI, um indische Regierungseinrichtungen zu infiltrieren
- Die Malware kann Befehle ausführen, Dateien stehlen und Screenshots anfertigen
- DISGOMOJI nutzt Discord als Command and Control-Plattform für die Steuerung
- Das Programm lädt mehrere Pakete, darunter ein Shell Skript, auf das Opfergerät
- Discord-c2 ermöglicht die Emoji-basierte Kommunikation mit infizierten Geräten
Siehe auch:
- Hacker locken mit gefälschten WinSCP- und Putty-Downloads in die Falle
- GCHQ: Russland lenkt Hacker regelrecht gegen den Westen
- ArcaneDoor: Hacker arbeiten sich durch Cisco-Firewalls in große Netze
- Russische Hacker nutzen alten Windows Print Spooler-Bug aus
- Russischer Hackerangriff: Schadsoftware nutzt Hintertür in MS Word
Thema:
Neueste Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen