This post is also available in:
English (אנגלית)
במקום להקליד פקודות מלאות, האקרים ממקסמים את יעילותם בעת תקשורת עם שרתי שליטה ובקרה (C2) באמצעות אמוג'ים – 'מצלמה עם פלאש' כדי לצלם מסך, 'שועל' כדי להפוך פרופילים של Firefox לקבצי זיפ, "אצבע מצביעה" כדי להסיר קבצים לשרתים זדוניים, ולבסוף "גולגולת" כדי לסיים את התהליך. כך גילו חוקרים מחברת אבטחת הסייבר Volexity.
מוקדם יותר השנה, ממשלת הודו הותקפה ע"י תוכנות זדוניות מסוג "Disgomoji" (המיוחסות לגורם האיום הפקיסטני UTA0137) באמצעות אימוג'י לתקשורת מסוג C2. ההתקפה התמקדה בריגול ובפגיעה בגופים ממשלתיים בהודו ונראה כי הצליחה. הדו"ח על שיטת ההתקפה החדשה הזאת מסביר כי משתמשים בקוד הזדוני על שרתי Discord – הוא יוצר ערוץ ייעודי לעצמו בשרת וכל ערוץ מייצג קורבן יחיד, כך שהתוקף יכול לקיים אינטראקציה עם כל קורבן בנפרד באמצעות ערוצים אלה.
על פי Cybernews, כאשר המתקפה מתחילה, Disgomoji שולח הודעת צ'ק-אין עם כתובת ה-IP, שם המשתמש, שם המארח, מערכת ההפעלה וספריית העבודה הנוכחית, ולאחר מכן ממתין להודעות נוספות. הוא נשאר בעקשנות על המכשיר המותקף ויכול אפילו לשרוד אתחול מחדש של המערכת. בעת עיבוד פקודה הנוזקה מגיבה עם אמוג'י של שעון, וכאשר היא מסיימת היא מציגה סימן "ווי".
הנוזקה בנוסף כוללת מנגנון שמקשה על דיסקורד לשבש את פעילותה, כך שגם אם חוסמים ומורידים את השרת, ניתן לשחזר את הקוד הזדוני על ידי עדכון אישורי Discord משרתי C2.
Volexity ציינו בדו"ח: "ל-Disgomoji יש יכולות חילוץ מידע התומכות במניע של ריגול, כולל פקודות קלות ונוחות עבור גניבת נתוני דפדפן משתמש ומסמכים והוצאת נתונים". החברה חושבת שפעילות זדונית זו יכולה להיות מיוחסת לגורם איום מפקיסטן, מכיוון שלדגימת הקוד הזדוני היה אזור זמן פקיסטני מקודד, היו קשרי תשתית לגורם איום פקיסטני ידוע, הקוד השתמש בפונג'אבי, והארגונים שהותקפו בעלי רלוונטיות לפקיסטן.
