Los emojis se han convertido en una herramienta indispensable para comunicarnos de manera rápida y expresiva. Sin embargo, su uso ha trascendido el ámbito de la comunicación cotidiana y ha sido explotado por ciberdelincuentes para realizar acciones maliciosas, con el objetivo de llegar hasta las cuentas bancarias.
Cómo funcionan los ataques con emojis
Los delincuentes distribuyen el malware mediante correos electrónicos de phishing que contienen enlaces o documentos maliciosos. Al abrir estos documentos, el malware se instala en el sistema de la víctima. Un caso particular es el malware conocido como DISGOMOJI, desarrollado en Golang y diseñado para sistemas Linux, que utiliza el servicio de mensajería Discord para el comando y control (C2) de dispositivos infectados.
Comandos basados en emojis
Lo innovador de DISGOMOJI es su capacidad para recibir y ejecutar comandos a través de emojis específicos enviados en canales de Discord. Los atacantes envían emojis específicos al canal de Discord para ejecutar acciones maliciosas. Por ejemplo, el emoji de una cámara de fotos indica al malware que tome una captura de pantalla del dispositivo infectado, mientras que el emoji de un pulgar hacia abajo ordena la descarga de archivos del dispositivo.
Robo de información y exfiltración de datos
DISGOMOJI es capaz de recolectar y exfiltrar una amplia gama de datos sensibles, incluyendo credenciales de usuario, información bancaria y archivos personales. Utiliza servicios de almacenamiento de terceros para almacenar y transferir estos datos a los atacantes. El malware también puede copiar archivos de dispositivos USB conectados al sistema infectado, ampliando su capacidad para robar información.
Casos recientes de ciberespionaje
Un ejemplo reciente de esta modalidad es la campaña de ciberespionaje dirigida contra entidades gubernamentales en India. Este grupo, presuntamente con sede en Pakistán, ha utilizado DISGOMOJI para infiltrarse en sistemas gubernamentales y exfiltrar datos sensibles. Según Volexity, una firma de investigación de amenazas, los atacantes han aprovechado vulnerabilidades en sistemas Linux utilizados por el gobierno indio para mantener acceso persistente y robar información crítica.
Cómo protegerse ante este tipo de ataques
La sofisticación y creatividad de estos ataques requieren que los usuarios y organizaciones adopten medidas proactivas para protegerse. A continuación, se presentan algunas recomendaciones clave:
Reconocer señales de phishing
Los usuarios deben ser educados para reconocer y evitar correos electrónicos y enlaces sospechosos que podrían ser intentos de phishing. No abrir documentos o archivos adjuntos de fuentes desconocidas o no verificadas.
Medidas técnicas de seguridad
Mantener todos los sistemas y aplicaciones actualizados para protegerse contra vulnerabilidades conocidas. Implementar soluciones de seguridad robustas que incluyan antivirus, firewalls y sistemas de detección de intrusiones.
Protección de credenciales y datos sensibles
Utilizar autenticación de dos factores (2FA) para añadir una capa extra de seguridad en cuentas críticas. También implementar gestores de contraseñas para crear y almacenar contraseñas seguras y únicas.
Monitorización y respuesta a incidentes
Realizar auditorías de seguridad y monitorear regularmente los sistemas en busca de actividades sospechosas. Desarrollar y probar planes de respuesta a incidentes para minimizar el impacto de un posible ataque.
