Reklama

Cyberbezpieczeństwo

Malware sterowane emoji. Nietypowy atak

Eksperci bezpieczeństwa z Volexity odkryli kolejną odmianę nietypowego malware - jest ono sterowane za pośrednictwem emotikon. Co umożliwia taka metoda?
Eksperci bezpieczeństwa z Volexity odkryli kolejną odmianę nietypowego malware - jest ono sterowane za pośrednictwem emotikon. Co umożliwia taka metoda?
Autor. Domingo Alvarez E/Unsplash

Pomysłowość atakujących wydaje się nie mieć granic. Najnowsze doniesienia w kontekście nowo odkrytego malware wskazują, że do jego kontroli wykorzystywany jest… komunikator Discord.

Sposoby hakerów na przeprowadzenie ataku malware cały czas ewoluują. Na łamach CyberDefence24 opisywaliśmy niedawno przypadek, w którym wykorzystano wyszukiwarkę Eksploratora Windows. W połowie maja było z kolei głośno o złośliwej paczce, którą ukryto w PyPI.

Czytaj też

Reklama

Atak na użytkowników Linuxa

Kolejną możliwość odkryli w ostatnich dniach eksperci cyberbezpieczeństwa z firmy Volexity. Jak informuje portal BleepingComputer, pakistańscy cyberprzestępcy oznaczeni jako UTA0137 za cel ataków obrali dystrybucje Linuxa używane przez podmioty indyjskiego rządu. Nie jest jednak wykluczone, że podatne są również inne wersje systemu operacyjnego.

Atak na początku przeprowadzany jest „klasycznie”. Według opisu Volexity, ofiara otrzymuje archiwum .zip, w którym znajduje się plik w formacie .elf. Jego uruchomienie ściąga na komputer plik .pdf dotyczący wskazania beneficjenta środków w ramach indyjskiej Defence Service Officer Provident Fund służący jako miraż. Dodatkowo, na komputer pobierane jest malware nazwane DISGOMOJI.

Czytaj też

Reklama

Sterowanie emotikonami i omijanie banów

Tak jak inny tego typu złośliwy program, DISGOMOJI w momencie uruchomienia na komputerze ofiary przesyła atakującemu informacje dotyczące sprzętu – od adresu IP po nazwę użytkownika czy otwarty folder. Najciekawsze następuje jednak dopiero po przekazaniu tych danych, ponieważ malware łączy się następnie z serwerem komunikatora Discord.

Powód połączenia jest prosty: atakujący steruje oprogramowaniem na komputerze ofiary za pośrednictwem emotikon, za pośrednictwem serwera są odbierane przez malware na komputerze ofiary. Według listy udostępnionej przez Volexity, możliwe jest m.in. robienie zrzutów ekranu, przesyłanie plików między sprzętami czy hostingami plików, czy wykonywanie komend.

Co istotne, nowe wersje DISGOMOJI działają w oparciu o tokeny i ID serwera Discord, które atakujący umieszczają na hostingu i mogą być stale przez nich aktualizowane – wcześniej informacje tego typu były stałe. W ten sposób, jeżeli stary serwer zostanie zbanowany przez administrację komunikatora, UTA0137 może szybko założyć nowy i kontynuować działanie malware.

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama
Reklama

Komentarze

    Reklama