Che i cybercriminali siano dotati di fantasia e ingegno non è di certo una novità ma, quanto sta avvenendo in questi giorni su Discord, risulta di certo sorprendente.
La società di sicurezza Volexity, attraverso un post sul suo blog ufficiale, ha descritto una campagna attiva sulla suddetta piattaforma che sfrutta le emoji per gestire i server di comando e controllo (C2). Secondo quanto emerso, l’attacco sarebbe riconducibile a un gruppo di hacker pakistani e sarebbe diretto verso enti governativi indiani.
Il governo del paese asiatico si affida a una particolare distro Linux e, proprio per questo motivo, l’attacco sembra essere diretto verso questo specifico sistema operativo. A grandi linee, le comunicazioni con il server C2 avvengono attraverso un protocollo basato su emoji, con l’aggressore che invia comandi al malware attraverso di esse.
Volexity ha decifrato questo metodo di comunicazione. Per esempio, l’emoji del fuoco (ovvero questa 🔥) avvia la ricerca di file di una lunga lista di estensioni (CSV, DOC, ISO, JPG, RAR, ZIP e tanti altri).
Emoji e Discord: ecco come i cybercriminali gestiscono i propri server C2
Come è facile intuire, con l’emoji della macchina fotografica (ovvero 📸) viene scattato uno screenshot sul computer della vittima. La volpe (🦊) invece, va a comprimere il profilo del browser Firefox che poi, attraverso ulteriori comandi, può essere estratto dagli hacker.
L’indice verso l’alto (☝️) va a caricare dei file sul dispositivo della vittima mentre quello verso il basso (👇) avvia il download degli stessi, anche se necessita di un percorso del file da scaricare.
Sebbene l’attacco sia per ora circoscritto in un preciso territorio dell’Asia, non è detto che in futuro questa tecnica possa essere utilizzata anche in Europa. D’altro canto non è la prima volta (e probabilmente neanche l’ultima) in cui Discord sale agli onori della cronaca per casi legati al cybercrimine. La piattaforma, per ampio bacino d’utenza e caratteristiche, a quanto pare è terreno fertile per hacker e figure simili.