Attento a queste emoji: sembrano carine ma in realtà hanno un oscuro segreto

Da strumenti che arricchiscono la comunicazione quotidiana a pericolose minacce informatiche: l’inquietante evoluzione delle emoji.

Il mondo del malware è in continua evoluzione, e ogni giorno emergono nuove minacce informatiche. Recentemente, è stato scoperto un nuovo tipo di malware che utilizza le emoji di Discord per eseguire comandi su dispositivi infetti. Questo malware, noto come DISGOMOJI, è stato identificato da Volexity e rappresenta una minaccia unica nel suo genere.

DISGOMOJI si distingue per il suo metodo di comunicazione insolito: anziché utilizzare comandi testuali tradizionali, impiega emoji di Discord per interagire con i dispositivi compromessi. Questa peculiarità rende il malware molto più difficile da rilevare anche perché ad essere coinvolte sono le emoji comunemente più usate nelle conversazioni quotidiane. Spesso, infatti, queste immagini compromesse passano facilmente inosservate, permettendo al malware di operare indisturbato per periodi prolungati.

Malware controllato da Emoji: gli hacker esplorano nuove frontiere di attacco

DISGOMOJI prende di mira computer con il sistema operativo Linux, in particolare quelli che utilizzano una versione chiamata BOSS. L’infezione avviene attraverso documenti falsi contenenti il file dannoso, che, una volta aperto, scarica e avvia DISGOMOJI sul computer. Una volta installato, il virus si connette a un server Discord controllato dall’attaccante. Utilizzando un progetto open-source chiamato discord-c2, il server Discord diventa il punto di controllo per i computer infetti. Il virus, a questo punto, attende istruzioni sotto forma di emoji.

Ad esempio, un’emoji di un uomo che corre esegue un comando sul computer della vittima, richiedendo un argomento per specificare il comando. L’emoji di una macchina fotografica cattura uno screenshot dello schermo della vittima e lo carica sul canale di comando. Un’emoji che indica con la mano verso il basso scarica file dal computer della vittima e li carica sul canale di comando, richiedendo il percorso del file.

Un’emoji con un dito che punta verso l’alto carica un file sul computer della vittima, mentre un’altra emoji con una mano che punta verso destra carica un file dal computer della vittima su Oshi, un servizio di archiviazione online. L’emoji con una mano che punta verso sinistra carica un file dal computer della vittima su transfer.sh, un servizio di condivisione file online.

Un’emoji di una fiamma trova e invia tutti i file che corrispondono a una lista di estensioni predefinite presenti sul computer della vittima, comprese estensioni come CSV, DOC, ISO, JPG, ODP, ODS, ODT, PDF, PPT, RAR, SQL, TAR, XLS e ZIP. Un’emoji con una volpe comprime tutti i profili di Firefox sul computer della vittima, rendendoli recuperabili dall’attaccante in un secondo momento. Infine, l’emoji di un teschio termina il processo del virus utilizzando un comando specifico.

Utilizzare emoji per i comandi e la comunicazione aiuta il virus a rimanere inosservato più a lungo. Discord potrebbe avere difficoltà a rilevare che i suoi server vengono utilizzati per eseguire attività dannose se tutto ciò che fa è inviare emoji comunemente usate. La gestione dei token di Discord da parte del virus rende più difficile per Discord agire contro i server degli attaccanti, poiché la configurazione del client può essere facilmente aggiornata dagli attaccanti quando necessario.