- 21,295
- 46
- 8 Ноя 2022
Там, где видят просто смайлы, хакеры видят инструкции.
Telegram давно стал не только площадкой для общения, но и инструментом, который всё чаще используют участники теневых киберсообществ, а теперь он получил неожиданное продолжение этой тенденции — в виде эмодзи-паков. Специалисты DarkTower обнаружили , что злоумышленники создают собственные наборы эмодзи с логотипами компаний, на которые собираются совершить атаки. Такие наборы не только служат способом кодового общения внутри преступных сообществ, но и помогают скрывать следы от аналитиков, ведущих мониторинг чатов.
Обычно эмодзи создаются пользователями для персонализации общения — как статические, так и анимированные картинки могут отражать интересы или настроение собеседника. Владельцы Telegram Premium получают доступ к эксклюзивным наборам, а при желании любой человек может разработать и загрузить собственный. Но именно эта открытая система стала лазейкой: преступники поняли, что могут использовать кастомные эмодзи как инструмент сокрытия названий компаний-жертв.
Схема выглядит просто. Допустим, участники группировки обсуждают взлом конкретного банка и не хотят, чтобы его название появилось в текстах чата. Тогда один из них создаёт эмодзи-пак, где присутствует логотип нужного банка, и рассылает его сообщникам. Когда они общаются и планируют преступление, достаточно отправить эмодзи вместо слова . Поиск по названию компании уже не покажет их переписку — для автоматизированных систем и аналитиков она останется «чистой».
Именно так, по данным DarkTower, действовали 2 злоумышленника под никами Jack и Jill, готовившие схему по краже банковских логов и последующему снятию средств через банкоматы. Чтобы привлечь дополнительных участников, один из них выпустил набор эмодзи с логотипом банка, а второй подписался на него через Telgream Premium. В итоге оба могли набирать сообщников, не упоминая название кредитного учреждения в открытом виде.
К 20 сентября 2025 года специалисты зафиксировали 4 подобных набора с логотипами финансовых организаций.
Первый назывался NOFACEOPENUP, и его автором указан пользователь @KURASAOCAP. В его профиле указано, что он занимается графическим и моушн-дизайном. Этот же человек владеет другими аккаунтами — @vsekartiny и @ralphlaur. Все страницы оформлены в схожем визуальном стиле, что указывает на принадлежность к одному пользователю.
(DarkTower)
Второй носил название «Random Acct Drops / Biz Drops». Он не содержал ссылки на конкретного автора, а поиск по названию выдавал множество нерелевантных результатов, что может свидетельствовать о попытке замаскировать происхождение пака.
(DarkTower)
Третий набор «@atmanman :: @fStikbot» указывает сразу на двух пользователей. Второй из них, @fStikbot, до сих пор активен и представляет собой сервис, превращающий изображения в Telegram-эмодзи. Исследователи предполагают, что именно этот инструмент могли использовать злоумышленники для загрузки логотипов целевых компаний. Второй участник схемы — @atmanman — уже удалён из Telegram, но при поиске по старому нику находится страница @Atmanmanjl с арабским именем и биографией. По данным DarkTower, эти аккаунты, вероятно, связаны.
(DarkTower)
Последний носит название «VICE UNION @viceunion». Он отсылает к пользователю, а также одноимённому каналу VICE UNION SHOP. Оба ресурса уже недоступны. Однако ещё 9 сентября из канала «???? Fraud Cartel ????» пересылалось сообщение от VICE UNION SHOP, которое впоследствии было удалено, что может указывать на одновременное блокирование канала и аккаунта владельца .
(DarkTower)
Специалисты отмечают, что подобные эмодзи-паки становятся новой формой «теневой лексики» внутри Telegram. Они позволяют обсуждать цели атак без использования ключевых слов, которые могли бы привлечь внимание исследователей или алгоритмов автоматического анализа. При этом сами наборы маскируются под обычные дизайнерские коллекции и выглядят безобидно для большинства пользователей. DarkTower подчёркивает, что таких эмодзи-паков может быть гораздо больше, и их распространение требует дополнительного контроля со стороны администрации Telegram.
Telegram давно стал не только площадкой для общения, но и инструментом, который всё чаще используют участники теневых киберсообществ, а теперь он получил неожиданное продолжение этой тенденции — в виде эмодзи-паков. Специалисты DarkTower обнаружили , что злоумышленники создают собственные наборы эмодзи с логотипами компаний, на которые собираются совершить атаки. Такие наборы не только служат способом кодового общения внутри преступных сообществ, но и помогают скрывать следы от аналитиков, ведущих мониторинг чатов.
Обычно эмодзи создаются пользователями для персонализации общения — как статические, так и анимированные картинки могут отражать интересы или настроение собеседника. Владельцы Telegram Premium получают доступ к эксклюзивным наборам, а при желании любой человек может разработать и загрузить собственный. Но именно эта открытая система стала лазейкой: преступники поняли, что могут использовать кастомные эмодзи как инструмент сокрытия названий компаний-жертв.
Схема выглядит просто. Допустим, участники группировки обсуждают взлом конкретного банка и не хотят, чтобы его название появилось в текстах чата. Тогда один из них создаёт эмодзи-пак, где присутствует логотип нужного банка, и рассылает его сообщникам. Когда они общаются и планируют преступление, достаточно отправить эмодзи вместо слова . Поиск по названию компании уже не покажет их переписку — для автоматизированных систем и аналитиков она останется «чистой».
Именно так, по данным DarkTower, действовали 2 злоумышленника под никами Jack и Jill, готовившие схему по краже банковских логов и последующему снятию средств через банкоматы. Чтобы привлечь дополнительных участников, один из них выпустил набор эмодзи с логотипом банка, а второй подписался на него через Telgream Premium. В итоге оба могли набирать сообщников, не упоминая название кредитного учреждения в открытом виде.
К 20 сентября 2025 года специалисты зафиксировали 4 подобных набора с логотипами финансовых организаций.
Первый назывался NOFACEOPENUP, и его автором указан пользователь @KURASAOCAP. В его профиле указано, что он занимается графическим и моушн-дизайном. Этот же человек владеет другими аккаунтами — @vsekartiny и @ralphlaur. Все страницы оформлены в схожем визуальном стиле, что указывает на принадлежность к одному пользователю.
(DarkTower)
Второй носил название «Random Acct Drops / Biz Drops». Он не содержал ссылки на конкретного автора, а поиск по названию выдавал множество нерелевантных результатов, что может свидетельствовать о попытке замаскировать происхождение пака.
(DarkTower)
Третий набор «@atmanman :: @fStikbot» указывает сразу на двух пользователей. Второй из них, @fStikbot, до сих пор активен и представляет собой сервис, превращающий изображения в Telegram-эмодзи. Исследователи предполагают, что именно этот инструмент могли использовать злоумышленники для загрузки логотипов целевых компаний. Второй участник схемы — @atmanman — уже удалён из Telegram, но при поиске по старому нику находится страница @Atmanmanjl с арабским именем и биографией. По данным DarkTower, эти аккаунты, вероятно, связаны.
(DarkTower)
Последний носит название «VICE UNION @viceunion». Он отсылает к пользователю, а также одноимённому каналу VICE UNION SHOP. Оба ресурса уже недоступны. Однако ещё 9 сентября из канала «???? Fraud Cartel ????» пересылалось сообщение от VICE UNION SHOP, которое впоследствии было удалено, что может указывать на одновременное блокирование канала и аккаунта владельца .
(DarkTower)
Специалисты отмечают, что подобные эмодзи-паки становятся новой формой «теневой лексики» внутри Telegram. Они позволяют обсуждать цели атак без использования ключевых слов, которые могли бы привлечь внимание исследователей или алгоритмов автоматического анализа. При этом сами наборы маскируются под обычные дизайнерские коллекции и выглядят безобидно для большинства пользователей. DarkTower подчёркивает, что таких эмодзи-паков может быть гораздо больше, и их распространение требует дополнительного контроля со стороны администрации Telegram.
- Источник новости
- www.securitylab.ru
