Embora o Linux seja uma plataforma mais segura do que tantas outras, não está imune a vírus, e recentemente, foi descoberto um que funciona com uma abordagem bastante incomum: ele é controlado por emojis. Entendamos um pouco sobre como este novo vírus para Linux funciona.
Por trás do emoji, um vírus para Linux
Descoberto pela agência de cibersegurança, Volexity, o vírus para Linux denominado ‘DISGOMOJI’ é controlado por emojis para executar comandos no computador infectado. Seu principal alvo são computadores do governo da Índia com uma distro Linux customizada, chamada BOSS, mas nada impede que ele rode em outras distros. A Volexity acredita que os atacantes encontram-se no Paquistão, país com amplo histórico de disputas contra a India.
Segundo a empresa de segurança, este vírus para Linux é distribuído por e-mail, sob a forma de um pacote EPX ELF executável, escondido num arquivo ZIP. Quando executado, o malware abre um arquivo PDF de formulário para beneficiário de pensão de falecimento de funcionário público.
Por trás dos panos, o ‘DISGOMOJI’ é executado com um shell script denominado ‘uevent_seqnum.sh’ que busca por dispositivos USB e rouba os dados. O vírus para Linux vaza imediatamente, informações do computador, incluindo endereço de IP, nome de usuário, nome do host, versão do sistema operacional e a pasta onde se encontra, facilitando ser controlado pelos atacantes.
Então, os atacantes conseguem controlar o vírus utilizando o sistema discord-c2, que serve para enviar e receber emojis pelo Discord. Basicamente, o malware se conecta a um servidor da rede social, e o agente malicioso utiliza emojis acompanhados de algum parâmetro para executar comandos.
A escolha por essa abordagem possibilita burlar sistemas de segurança, que tipicamente monitoram comandos em texto, ignorando os emojis.
Segundo a Volexity, alguns dos emojis utilizados são:
- 🏃 acompanhado de um argumento, executa um comando no computador infectado;
- 📸 faz uma captura de tela do computador da vítima e envia ao atacante;
- 👇 envia arquivos do computador da vítima para o atacante;
- 👆 envia um arquivo do atacante para a vítima;
- 🔥 busca por arquivos conforme o parâmetro definido pelo hacker;
- 🦊 coleta dados de navegação do Firefox;
- 💀 encerra o processo do vírus.
O vírus para Linux ‘DISGOMOJI’, permanece no sistema mesmo após reiniciar, iniciando junto ao boot utilizando o comando @reboot cron. Foram descobertas versões que utilizam métodos alternativos de persistência e com outras formas de coleta de dados de dispositivos USB.
Uma vez com o computador da vítima comprometido, os hackers conseguem roubar dados e credenciais para ir ainda mais longe no acesso à informação.
Pode parecer surpreendente um vírus para Linux tão poderoso, entretanto, recentemente, houve uma brecha que impressionou o mundo pela engenharia complexa em sua criação, entenda a ação maliciosa feita conta a biblioteca XZ Utils.
