خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

این بدافزار جدید از ایموجی های Discord برای سرقت داده ها استفاده می کند

ارشیا یوسفی ادیب ۱۱ تیر, ۱۴۰۳ 4 min read

اغلب به نظر می رسد زمانی که در مورد یک نوع بدافزار خوانده اید، بیشتر آنها را شنیده اید. اما پس از آن یک اپراتور بدافزار شروع به استفاده از ایموجی ها برای برقراری ارتباط با دستگاه های آلوده خود می کند و شما باید به آن توجه کنید.

خلاصه عناوین

  • بدافزار DISGOMOJI چیست؟
  • بدافزار کنترل شده با ایموجی چگونه کار می کند؟
  • آیا بدافزار کنترل شده با ایموجی نقطه ای وجود دارد؟

اغلب به نظر می رسد زمانی که در مورد یک نوع بدافزار خوانده اید، بیشتر آنها را شنیده اید. اما پس از آن یک اپراتور بدافزار شروع به استفاده از ایموجی ها برای برقراری ارتباط با دستگاه های آلوده خود می کند و شما باید به آن توجه کنید.

بدافزار DISGOMOJI که اولین بار توسط سازمان تحقیقات امنیتی Volexity کشف شد، دارای یک شناسه منحصر به فرد است: از ایموجی های Discord برای اجرای دستورات روی دستگاه های آلوده استفاده می کند.

بدافزار DISGOMOJI چیست؟

Volexity بدافزار DISGOMOJI را در ژوئن 2024 کشف کرد و آن را به یک گروه مستقر در پاکستان که با نام UTA0137 ردیابی شده بود مرتبط کرد.

این بدافزار دستگاه های لینوکس را با استفاده از توزیع BOSS هدف قرار می دهد که عمدتاً توسط سازمان های دولتی هند استفاده می شود. با این حال، از نظر تئوری، می‌توان از آن در برابر هر توزیع لینوکس استفاده کرد و به زبان برنامه‌نویسی سازگار Golang نوشته شده است.

با این حال، جالب ترین بخش DISCOMOJI استفاده آن از ایموجی های Discord برای کنترل دستگاه های آلوده است. به جای ارسال دستورات با استفاده از کلمات، همانطور که در اکثر بدافزارها مشاهده می کنید، اپراتور DISCOMOJI می تواند یک ایموجی Discord خاص را برای درخواست یک اقدام ارسال کند.

مطلب مرتبط:   چگونه هکرها از اسناد مایکروسافت ورد برای هک ویندوز سوء استفاده می کنند

بدافزار کنترل شده با ایموجی چگونه کار می کند؟

ابتدا، بدافزار باید نصب شود تا مهاجم بتواند کنترل دستگاه مورد نظر را به دست آورد. به دستگاه مورد نظر یک سند جعلی حاوی فایل مخرب ارسال می شود که پس از اجرا، بدافزار DISCOMOJI را دانلود می کند. هنگام راه‌اندازی، DISCOMOJI داده‌هایی مانند اطلاعات محلی، نام‌های کاربری، نام میزبان، دایرکتوری که بدافزار در آن نصب شده است و داده‌های هر دستگاه USB متصل را از دستگاه مورد نظر می‌دزدد.

سپس، بدافزار به سرور Discord که توسط مهاجم کنترل می شود متصل می شود و به خانه تلفن می زند تا منتظر دستورالعمل های جدید باشد. مهاجمان از چیزی به نام discord-c2 استفاده می کنند، یک پروژه فرمان و کنترل منبع باز که از Discord به عنوان نقطه کنترل دستگاه های آلوده استفاده می کند. هنگامی که بدافزار به سرور Discord متصل می شود، مهاجم می تواند از طیف وسیعی از ایموجی ها برای درخواست بدافزار استفاده کند، با مجموعه ای از پارامترهای مختلف.

ایموجی های بدافزار Discord در زیر خلاصه شده اند:

ایموجی

نام ایموجی

توضیحات فرمان

🏃‍♂️

مرد در حال دویدن

یک فرمان را در دستگاه قربانی اجرا کنید. این دستور یک آرگومان دریافت می کند که دستور اجراست.

📸

دوربین با فلش

یک اسکرین شات از صفحه قربانی بگیرید و آن را به عنوان پیوست در کانال فرمان آپلود کنید.

👇

نمایه بک هند به سمت پایین

فایل ها را از دستگاه قربانی دانلود کرده و به عنوان پیوست در کانال فرمان آپلود کنید. این دستور یک آرگومان دریافت می کند که مسیر فایل است.

مطلب مرتبط:   چگونه تاریخچه جستجوی فیس بوک خود را پاک کنیم

☝️

شاخص به سمت بالا

فایلی را در دستگاه قربانی آپلود کنید. فایل برای آپلود به همراه این ایموجی پیوست شده است.

👉

نمایه بک هند به سمت راست

فایلی را از دستگاه قربانی در Oshi (oshi[.]at)، یک سرویس ذخیره‌سازی فایل از راه دور، آپلود کنید. این دستور یک آرگومان دریافت می کند که نام فایلی است که باید آپلود شود.

oshi[.]at

👈

نمایه بک هند به سمت چپ

برای انتقال[.]sh، یک سرویس اشتراک گذاری فایل از راه دور، فایلی را از دستگاه قربانی آپلود کنید. این دستور یک آرگومان دریافت می کند که نام فایلی است که باید آپلود شود.

transfer[.]sh

🔥

آتش

همه فایل‌های منطبق با فهرست برنامه‌های افزودنی از پیش تعریف‌شده را که در دستگاه قربانی وجود دارد، پیدا کنید و ارسال کنید. فایل‌های با پسوندهای زیر استخراج می‌شوند: CSV، DOC، ISO، JPG، ODP، ODS، ODT، PDF، PPT، RAR، SQL، TAR، XLS، ZIP

🦊

روباه

تمام پروفایل های فایرفاکس را روی دستگاه قربانی زیپ کنید. این فایل‌ها را مهاجم می‌تواند بعداً بازیابی کند.

💀

جمجمه

فرآیند بدافزار را با استفاده از os.Exit() خاتمه دهید.

os.Exit()

جالب است اما عجیب است که فکر کنید از ایموجی هایی که هر روز استفاده می کنید برای کنترل بدافزار استفاده می شود.

آیا بدافزار کنترل شده با ایموجی نقطه ای وجود دارد؟

علاوه بر کاربرپسندتر کردن آن، استفاده از ایموجی ها برای فرمان و ارتباط می تواند به بدافزار کمک کند تا برای مدت طولانی تری شناسایی نشود. مطمئنا، Discord ممکن است برای تشخیص اینکه سرورهایش برای اجرای یک پروژه مخرب C2 استفاده می‌شوند، مشکل داشته باشد، در صورتی که تنها کاری که انجام می‌دهد ارسال ایموجی‌های معمولی است.

مطلب مرتبط:   نحوه رفع خطای Waiting Endpoint در Discord

نحوه مدیریت توکن‌های Discord توسط بدافزار، عملکرد Discord را در برابر سرورهای مهاجم سخت‌تر می‌کند، زیرا پیکربندی مشتری می‌تواند در صورت لزوم توسط مهاجم به‌روزرسانی شود.

بنابراین، اگر استمرار نام بازی است، استفاده از ایموجی ها می تواند مفید باشد.

در مورد ایمن ماندن، این بدافزار در درجه اول یک توزیع خاص لینوکس مورد استفاده در سازمان‌های دولتی هند را هدف قرار می‌دهد، که به این معنی است که اکثر مردم عادی هیچ نگرانی در مورد آن ندارند. با این حال، همیشه دستگاه‌های خود را به‌روز نگه دارید، زیرا هرگز نمی‌دانید چه تهدیدی ممکن است ظاهر شود.

Tags: