در سالهای اخیر، ایموجیها (Emojis) به یکی از ابزارهای کلیدی مهاجمان سایبری تبدیل شدهاند. آنچه که زمانی تنها یک نماد بصری ساده در پیامهای مجازی بود، اکنون نقشی اساسی در پنهانسازی حملات سایبری و ارتباطات مخفیانه ایفا میکند. مهاجمان با استفاده خلاقانه از ایموجیها در پلتفرمهایی مانند تلگرام، دیسکورد و انجمنهای زیرزمینی، توانستهاند راهی برای عبور از فیلترهای امنیتی، انتقال فرمانها و کاهش قابلیت شناسایی یافته و فعالیتهای خود را پنهان کنند.
تغییر الگوی ارتباطی مهاجمان
طبق تحلیل جدید شرکت Flashpoint، افزایش استفاده از ایموجیها نشاندهنده یک تغییر گسترده در شیوه ارتباطات مهاجمان است؛ تغییری که به سمت تعامل سریعتر، بصریتر و انعطافپذیرتر حرکت میکند. این روند نشان میدهد که سازمانهایی که تحلیل این نمادها را در جریان شناسایی تهدیدات امنیتی خود لحاظ میکنند، قادر خواهند بود کمپینهای جدید و در حال ظهور را سریعتر شناسایی کنند، فعالیتهای مخرب با ارزش بالا را تشخیص دهند، مهاجمان را شناسایی و ردیابی کرده و اهداف آنها را بهتر درک کنند. اگرچه ایموجیها بهتنهایی نمیتوانند بهعنوان شاخصهای قطعی برای شناسایی تهدیدات عمل کنند، اما افزودن این لایه از نمادها میتواند تحلیلهای امنیتی را تقویت کرده و در شناسایی حملات پیچیدهتر و پنهانتر کمک قابلتوجهی کند.
استفاده گسترده از ایموجیها برای پنهانسازی ارتباطات
یکی از نمونههای برجسته در این زمینه، کمپین APT مرتبط با پاکستان به نام UTA0137 است که در آن، بدافزار Disgomoji بهطور خاص برای تبدیل ایموجیهای ساده به فرمانهای عملیاتی طراحی شده است. این بدافزار از ایموجیها برای دستکاری و هدایت سیستمهای آلوده استفاده میکند. بهطور مثال:
- ایموجی دوربین 📸 برای گرفتن اسکرینشات از سیستم
- ایموجی آتش 🔥 برای انتقال و سرقت اطلاعات حساس
- ایموجی اسکلت 💀 برای خاتمه دادن به فرآیندها و عملیاتهای مختلف
در کنار این، گزارشهای متعددی از ظهور عملیات فرماندهی و کنترل (C2) مبتنی بر ایموجیها منتشر شده است. در این عملیاتها، مهاجمان از نمادهای ظاهراً عادی و بیخطر برای اجرای فرمانها، تأیید و پیگیری وظایف و همچنین انتقال داده در سیستمهای آلوده استفاده میکنند. به این ترتیب، ایموجیها به ابزاری تبدیل شدهاند که قادرند بهطور موثری ارتباطات مخفیانه را از دید سیستمهای امنیتی پنهان کنند.
یکی از تکنیکهای جدید و پیچیدهای که اخیراً مشاهده شده، Emoji Smuggling یا جاسازی ایموجیها است. در این روش، مهاجمان از ایموجیها برای پنهان کردن پیلودهای مخرب استفاده میکنند. این نمادها بهعنوان کانالی برای عبور از مکانیزمهای امنیتی عمل میکنند، بهطوری که حتی در صورت شناسایی ایموجیها به عنوان محتوای بیخطر یا نامشخص، بدافزارها به راحتی از فیلترهای امنیتی عبور میکنند و فعالیتهای مخرب خود را اجرا مینمایند.
چرا ایموجیها برای مهاجمان جذاب هستند؟
Flashpoint دو مزیت کلیدی را برای استفاده از ایموجیها توسط مهاجمان مطرح میکند:
- عبور از فیلترها و کاهش قابلیت شناسایی: ایموجیها به مهاجمان این امکان را میدهند که از فیلترهای مبتنی بر کلمه کلیدی عبور کنند. بهعنوان مثال، استفاده از ایموجیهایی مانند ربات 🤖 برای اشاره به سرویسهای بات، کیسه پول 💰 برای نشان دادن باج یا سود، کلید 🗝️ برای دسترسی و قفل باز 🔓 برای اشاره به نفوذ موفق، این امکان را فراهم میکند که مهاجمان در محیطهای خودکار کمتر مورد شناسایی قرار گرفته و فعالیتهای مخرب خود را بهراحتی اجرا کنند.
- افزایش سرعت و کارایی در ارتباطات شلوغ: در محیطهای شلوغ و پرترافیک مانند کانالهای تلگرام، انجمنهای کارتینگ، جوامع فیشینگ و بازارهای زیرزمینی، ایموجیها به مهاجمان اجازه میدهند تا ارتباطات خود را سریعتر، سادهتر و مؤثرتر انجام دهند. استفاده از نمادها بهعنوان یک زبان بصری و چندمنظوره، موانع زبانی را از بین میبرد و پیچیدگی تحلیل و مانیتورینگ را افزایش میدهد.
کاربردهای ایموجیها در جرایم مالی و دسترسی غیرمجاز
طبق گزارشهای Flashpoint، ایموجیها در زمینههای خاصی از جرایم سایبری استفاده میشوند. این زمینهها شامل کلاهبرداری مالی، فروش اطلاعات سرقتی، دسترسی غیرمجاز به سیستمها و تبلیغ ابزارهای مخرب است. بهعنوان مثال:
- ♦️ برای دادههای کارت سرقتی
- 💰 برای سود یا پرداختها
- 🔑 برای دسترسی
- 🔓 برای نفوذ موفق
این نمادها در پستهای فروش و گزارشهای کلاهبرداری در جوامع زیرزمینی بسیار رایج هستند.
ایموجیها بهعنوان نشانه هدف و توانمندی
مهاجمان از ایموجیها برای نمایش نوع هدف یا موقعیت جغرافیایی استفاده میکنند:
- 🏢 برای هدفهای سازمانی
- 🏦 برای اهداف مالی
- 🚩 برای هدفگذاری جغرافیایی
ترکیب این نمادها با اختصارنویسی، اصطلاحات محلی و زبانهای مختلف، لایهای از پیچیدگی ایجاد میکند که تحلیل خودکار تهدیدات را دشوارتر میسازد.
ایجاد لایههای پیچیده پنهانسازی
اگرچه ایموجیها به مهاجمان کمک میکنند تا فعالیتهای خود را پنهان کنند، اما استفاده مکرر از آنها میتواند بهعنوان یک نقطه ضعف عمل کند. پژوهشگران امنیتی میتوانند با بررسی ترکیبهای ثابت این نمادها و ساختار تکراری پیامها، ارتباط میان فعالیتهای یک مهاجم را در پلتفرمهای مختلف شناسایی کرده و به هم پیوند دهند.
