Un caso particular se trata del malware conocido como DISGOMOJI, que ha sido identificado en diversas campañas de ciberespionaje y robo de información. Este malware, desarrollado en Golang y diseñado para sistemas Linux, utiliza el servicio de mensajería Discord para el comando y control (C2) de dispositivos infectados.

Lo innovador de DISGOMOJI es su capacidad para recibir y ejecutar comandos a través de emojis específicos enviados en canales de Discord, una de las aplicaciones más usados por gamers y creadores de contenido.

Cómo funciona el ataque a través de emojis

Infección inicial:

Los delincuentes distribuyen el malware mediante correos electrónicos de phishing que contienen enlaces o documentos maliciosos. Al abrir estos documentos, el malware se instala en el sistema de la víctima.

Una vez instalado, DISGOMOJI crea un canal dedicado en un servidor de Discord para cada víctima. Este canal se utiliza para enviar y recibir comandos entre los atacantes y el malware.

Comandos basados en emojis:

Los atacantes envían emojis específicos al canal de Discord para ejecutar acciones maliciosas. Por ejemplo, el emoji de una cámara de fotos indica al malware que tome una captura de pantalla del dispositivo infectado, mientras que el emoji de un pulgar hacia abajo ordena la descarga de archivos del dispositivo.

El malware utiliza técnicas avanzadas para mantener la persistencia en el sistema, como la modificación para sobrevivir reinicios, y puede aprovechar vulnerabilidades conocidas para escalar privilegios y obtener acceso total al sistema.

Robo de información y exfiltración de datos:

DISGOMOJI es capaz de recolectar y exfiltrar una amplia gama de datos sensibles, incluyendo credenciales de usuario, información bancaria y archivos personales. Utiliza servicios de almacenamiento de terceros para almacenar y transferir estos datos a los atacantes.

El malware también puede copiar archivos de dispositivos USB conectados al sistema infectado, ampliando su capacidad para robar información.

Un ejemplo reciente de esta modalidad es la campaña de ciberespionaje dirigida contra entidades gubernamentales en India. Este grupo, presuntamente con sede en Pakistán, ha utilizado DISGOMOJI para infiltrarse en sistemas gubernamentales y exfiltrar datos sensibles.

Según Volexity, una firma de investigación de amenazas, los atacantes han aprovechado vulnerabilidades en sistemas Linux utilizados por el gobierno indio para mantener acceso persistente y robar información crítica.

Cómo protegerse ante este tipo de ataques

La sofisticación y creatividad de estos ataques requieren que los usuarios y organizaciones adopten medidas proactivas para protegerse. A continuación, se presentan algunas recomendaciones clave:

Reconocer señales de phishing: Los usuarios deben ser educados para reconocer y evitar correos electrónicos y enlaces sospechosos que podrían ser intentos de phishing. No abrir documentos o archivos adjuntos de fuentes desconocidas o no verificadas.

Medidas técnicas de seguridad: mantener todos los sistemas y aplicaciones actualizados para protegerse contra vulnerabilidades conocidas. Implementar soluciones de seguridad robustas que incluyan antivirus, firewalls y sistemas de detección de intrusiones.

Protección de credenciales y datos Sensibles: utilizar autenticación de dos factores (2FA) para añadir una capa extra de seguridad en cuentas críticas. También implementar gestores de contraseñas para crear y almacenar contraseñas seguras y únicas.

Monitorización y respuesta a incidentes: realizar auditorías de seguridad y monitorear regularmente los sistemas en busca de actividades sospechosas. Desarrollar y probar planes de respuesta a incidentes para minimizar el impacto de un posible ataque.

Fuentes consultadas:

www.google.com

www.olimex.club

Adolfo Gelder

adogel@gmail.com