Usuários do Linux precisarão tomar cuidado com mais um novo malware que pode infectar o seu sistema. Nomeado como “DISGOMOJI”, o recém-descoberto software malicioso tem uma maneira nova de funcionamento: ele consegue usar emojis para executar comandos nos dispositivos que estão infectados.

Ao que tudo indica, o novo malware foi desenvolvimento por um hacker do Paquistão conhecido como “UT0137” e tem como alvo os dispositivos infectados em agências governamentais na Índia. As informações são da empresa de segurança cibernética “Volexity”, que tem rastreado o possível hacker nos últimos meses.

Em uma nota disponibilizada pela própria Volexity, a empresa explica um pouco sobre as intenções do misterioso hacker e como ele parece ter conseguido atingir parte de seus objetivos. Veja:

Em 2024, a Volexity identificou uma campanha de ciberespionagem realizada por um suposto ator de ameaça baseado no Paquistão que a Volexity atualmente rastreia sob o pseudônimo UTA0137. A Volexity avalia com grande confiança que o UTA0137 tem objetivos relacionados à espionagem e uma missão de atingir entidades governamentais na Índia. Com base na análise da Volexity, as campanhas do UTA0137 parecem ter sido bem-sucedidas.

Assim como muitas outras backdoors/botnets já criados, o DISGOMOJI pode ser usado para executar diferentes ataques com intuito de conseguir algo, como capturas de tela, roubo de arquivos, implantação de cargas adicionais do malware, procura de arquivos e muito mais.

Contudo, o destaque do vírus está no uso do Discord e dos seus emojis para que eles funcionem como uma plataforma de comando e controle (C2), o que por sua vez permite o malware se esquivar de software de segurança que busca por prompts baseados em texto escrito. São cerca de 9 emojis usados para representar comandos nos dispositivos:

Basicamente, os invasores usam um servidor do Discord para dar os comandos ao dispositivo que foi infectado por algum arquivo malicioso distribuído por meio de e-mails. Abaixo, a empresa explica melhor como funcionam esses processos:

DISGOMOJI escuta novas mensagens no canal de comando do servidor Discord. A comunicação C2 ocorre usando um protocolo baseado em emoji onde o invasor envia comandos ao malware enviando emojis para o canal de comando, com parâmetros adicionais seguindo o emoji quando aplicável. Enquanto DISGOMOJI está processando um comando, ele reage com um emoji “Relógio” na mensagem de comando para informar ao invasor que o comando está sendo processado. Assim que o comando for totalmente processado, a reação do emoji “Relógio” é removida e DISGOMOJI adiciona um “. Check Mark Button” emoji como uma reação à mensagem de comando para confirmar que o comando foi executado.

Embora o foco do DISGOMOJI seja atacar variantes do Linux chamadas “BOSS”, que o governo indiano usava como desktop, o malware pode infectar outras variantes do sistema também. Recentemente, uma falha de segurança do Windows permitia ataques por meio de Wi-Fi.