נוזקת לינוקס שהתגלתה לאחרונה בשם 'DISGOMOJI' משתמשת באימוג'י לביצוע פקודות זדוניות על סוכנויות ממשלתיות בהודו. הנוזקה החדשה התגלתה על ידי חברת אבטחת הסייבר Volexity, אשר מאמינה שהנוזקה מקושרת לקבוצת סייבר מפקיסטן בשם 'UTA0137'. חברת Volexity מעריכה בביטחון רב שלנוזקת DISGOMOJI יש מטרות הקשורות לריגול אחר גופים ממשלתיים בהודו. בהתבסס על הניתוח של Volexity, נראה שמתקפות הסייבר של DISGOMOJI היו מוצלחות.
נוזקה זו דומה לדלתות אחוריות / בוטנטים אחרים המשמשים במתקפות סייבר שונות, מה שמאפשר לפושעי הסייבר להוציא לפועל פקודות זדוניות, לצלם צילומי מסך, לגנוב קבצים, לפרוס נוזקות נוספות ולחפש קבצים. עם זאת, השימוש של הנוזקה ב- Discord ובאימוג'ים כפלטפורמת פקודה ושליטה (C2) גורם לה להתבלט מאחרות, כשהיא מסוגלת לעקוף תוכנת אבטחה המחפשת פקודות מבוססות טקסט.
לפי Volexity, הנוזקה התגלתה לאחר שהחוקרים הבחינו בקובץ הפעלה של ELF עמוס ב- UPX בארכיון ZIP, שהופץ ככל הנראה באמצעות הודעות דיוג. חברת Volexity מאמינה שהנוזקה מכוונת להפצת לינוקס מותאמת אישית בשם BOSS, בה משתמשות שסוכנויות ממשלתיות הודיות. עם זאת, יכולה הנוזקה לשמש באותה קלות במתקפות סייבר נגד הפצות לינוקס אחרות. לאחר הפעלת הנוזקה במחשב היעד, היא תוריד ותציג קובץ פיתוי PDF שהוא טופס מוטב מקרן הגמל של קצין שירות ההגנה של הודו במקרה של מותו של קצין. נוזקות נוספות תורדנה ברקע למחשב היעד, כולל נוזקת DISGOMOJI וסקריפט מעטפת בשם 'uevent_seqnum.sh' המשמש לחיפוש כונני USB וגניבת מידע מהם. DISGOMOJI תחלץ מידע מערכת מהמכונה כולל כתובת IP, שם משתמש, שם מארח, מערכת הפעלה וספריית העבודה הנוכחית – מידע הנשלח חזרה לפושעי הסייבר. כדי לשלוט בנוזקה משתמשים פושעי הסייבר בפרויקט הפקודה והבקרה בקוד פתוח discord-c2, המשתמש ב- Discord ובאימוג'ים כדי לתקשר עם מכשירים נגועים ולבצע פקודות.
הנוזקה תתחבר לשרת Discord הנשלט על ידי פושעי הסייבר ותמתין שהם יקלידו אימוג'י בערוץ הפיקוד. DISGOMOJI מאזין להודעות חדשות בערוץ הפיקוד בשרת הדיסקורד. תקשורת C2 מתבצעת באמצעות פרוטוקול מבוסס אימוג'י שבו שולחים פושעי הסייבר פקודות לנוזקה על ידי שליחת אימוג'ים לערוץ הפיקוד, כאשר פרמטרים נוספים עוקבים אחרי האימוג'י במידת הצורך. בזמן שנוזקת DISGOMOJI מעבדת פקודה, היא מגיבה עם אימוג'י 'שעון' בהודעת הפקודה כדי ליידע את פושעי הסייבר שהפקודה מעובדת. לאחר שהפקודה מעובדת במלואה, מוסרת תגובת האימוג'י 'שעון' ו- DISGOMOJI מוסיפה אמוג'י של כפתור סימן כתגובה להודעת הפקודה, כדי לאשר שהפקודה בוצעה.
הנוזקה שומרת על נוכחותה במכשיר הלינוקס הנגוע על ידי שימוש בפקודה @reboot cron כדי להפעיל את הנוזקה בכל פעם שמתבצע אתחול. Volexity טוענים שהם גילו גרסאות נוספות שהשתמשו במנגנוני התמדה אחרים עבור DISGOMOJI וסקריפט גניבת נתונים מ- USB, כולל ערכי הפעלה אוטומטית של XDG. ברגע שמכונת הלינוקס נפרצת, מנצלים פושעי הסייבר את הגישה שלהם כדי להתפשט לרוחב, לגנוב מידע ולנסות לגנוב אישורים נוספים ממשתמשים ממוקדים.
