Disgomoji: Hacker steuern Linux-Malware mit Emojis auf Discord
Sicherheitsforscher von Volexity warnen derzeit vor einer als Disgomoji bezeichneten Malware, die auf Linux-Systeme abzielt. Der Name kommt nicht von ungefähr: Die Schadsoftware wird mit Emojis über Discord gesteuert und ist in der Programmiersprache Go geschrieben. Dem Bericht der Forscher(öffnet im neuen Fenster) zufolge scheint Disgomoji derzeit ausschließlich von einer mutmaßlich in Pakistan ansässigen Hackergruppe mit der Bezeichnung UTA0137 eingesetzt zu werden.
Die Emoji-Befehle nimmt die Malware demnach über einen speziellen Befehlskanal auf einem Discord-Server entgegen. Die Grundlage für diese Funktionalität liefert ein Projekt namens discord-c2(öffnet im neuen Fenster) , das die Übermittlung von Steuerbefehlen via Discord ermöglicht. Bei Disgomoji handelt es sich laut Volexity um eine modifizierte Version dieser Software.
Angreifer können anhand der Emojis auf einem mit der Malware infizierten System etwa individuelle Befehle ausführen, Screenshots aufnehmen, nach Dateien mit bestimmten Dateiendungen suchen, Firefox-Profile abgreifen, Dateien exfiltrieren, eigene Dateien einschleusen sowie den Malware-Prozess beenden.
Je nach Emoji nimmt Disgomoji zusätzliche Parameter entgegen. Die Schadsoftware selbst antwortet auf Discord ebenfalls mit Emojis - etwa einer Uhr, wenn ein Befehl verarbeitet wird oder einem Haken, wenn der Befehl erfolgreich ausgeführt wurde. Via Crontab stellt die Malware sicher, dass sie auch Neustarts überdauert.
Discord-Tokens werden dynamisch nachgeladen
Die Volexity-Forscher gehen davon aus, dass UTA0137 Disgomoji zum Zwecke der Spionage einsetzt und damit vor allem Regierungsstellen in Indien attackiert, wo als gängiges Desktop-System eine spezielle Linux-Distribution namens Boss(öffnet im neuen Fenster) zum Einsatz kommt. Dass mit der Malware auch andere Linux-Distributionen attackiert werden können, ist jedoch naheliegend.
Darüber hinaus ist es durchaus möglich, dass auch andere Bedrohungsakteure das Konzept der Malware-Steuerung über Emojis auf Discord übernehmen und damit auch gänzlich andere Betriebssysteme sowie Ziele in anderen Regionen angreifen.
Inwieweit Discord Angriffe mit Disgomoji eindämmen kann, bleibt fraglich. Laut Volexity waren Authentifizierungstoken und die Server-ID für den Verbindungsaufbau zum Discord-Server ursprünglich fest im Code der Malware hinterlegt, inzwischen werden diese Daten jedoch dynamisch nachgeladen. Die Forscher gehen davon aus, dass dieser Umstand es Discord erschwert, gegen die Malware vorzugehen, "da die Client-Konfiguration bei Bedarf einfach vom Angreifer aktualisiert werden kann" .