26aug.
Noul Bot Telegram „Telekopye” care face jocul atacatorilor de tip phishing pe scară largă din Rusia

O nouă operațiune motivată financiar se folosește de un robot Telegram malițios pentru a ajuta autorii de amenințări să își înșele victimele.

Denumit Telekopye, un portmanteau de la Telegram și kopye (care înseamnă „suliță” în limba rusă), setul de instrumente funcționează ca un mijloc automatizat de a crea o pagină web de phishing pornind de la un șablon prestabilit și de a trimite URL-ul către potențialele victime, cu numele de cod Mammoths (mamuți).

Acest set de instrumente este implementat ca un bot Telegram care, atunci când este activat, oferă mai multe meniuri ușor de navigat sub forma unor butoane pe care se poate da click, care pot găzdui mai mulți escroci deodată„, a declarat cercetătorul ESET Radek Jizba într-un raport împărtășit cu The Hacker News.

Originile exacte ale actorilor de amenințare, supranumiți Neanderthals, sunt neclare, dar dovezile indică Rusia ca fiind țara de origine a autorilor și utilizatorilor setului de instrumente, datorită utilizării de șabloane SMS rusești și a faptului că majoritatea piețelor online vizate sunt populare în această țară.

Până în prezent, au fost detectate mai multe versiuni ale Telekopye, cea mai veche datând din 2015, ceea ce sugerează că este întreținut și utilizat în mod activ de mai mulți ani.

Lanțurile de atac procedează astfel: Neanderthalienii își găsesc mamuții și încearcă să stabilească o relație cu aceștia, înainte de a trimite un link fals creat cu ajutorul kitului de phishing Telekopye prin e-mail, SMS sau printr-un mesaj direct.

Odată ce detaliile de plată sunt introduse pe gateway-ul fals al cardului de credit/debit, informațiile sunt folosite pentru a sifona fonduri de la victimă, care sunt apoi spălate prin intermediul criptomonedelor.

Telekopye este complet echipat, permițând utilizatorilor săi să trimită e-mailuri de phishing, să genereze pagini web, să trimită mesaje SMS, să creeze coduri QR și să creeze imagini și capturi de ecran convingătoare ale cecurilor și chitanțelor.

Domeniile de phishing utilizate pentru a găzdui paginile sunt înregistrate astfel încât URL-ul final să înceapă cu numele de marcă așteptat – cdek.id7423[.]ru, olx.id7423[.]ru și sbazar.id7423[.]ru – în încercarea de a le face greu de identificat.

Un aspect notabil al operațiunii este natura centralizată a plăților. În loc să transfere banii furați de la mamuți în conturile lor proprii, aceștia sunt direcționați către un cont comun gestionat de administratorul Telekopye, ceea ce permite echipei principale să supravegheze operațiunile fiecărui Neanderthal.

Schema de functionare a unui bot de Telegram numit "Telekopye"

Cu alte cuvinte, Neanderthalii sunt plătiți de administratorul Telekopye după ce au solicitat o plată prin intermediul setului de instrumente propriu-zis, dar nu înainte ca o parte din ei să fie luată ca taxe de comision către proprietarul platformei și către recomandator.

Telekopye verifică soldul Neanderthalului, cererea finală este aprobată de administratorul Telekopye și, în cele din urmă, fondurile sunt transferate în portofelul de criptomonede al Neanderthalului„, a declarat Jizba.

În unele implementări Telekopye, primul pas, solicitarea unei plăți, este automatizat, iar negocierea este inițiată ori de câte ori un Neanderthal atinge un anumit prag de bani furați din escrocherii realizate cu succes.

În ceea ce reprezintă un alt semn al profesionalizării întreprinderii criminale, utilizatorii și operatorii Telekopye sunt organizați într-o ierarhie clară care cuprinde roluri precum administratori, moderatori, lucrători buni (sau roboți de asistență), lucrători și blocați:

Blocat: Utilizatori cărora li se interzice utilizarea Telekopye pentru că este probabil să încalce regulile proiectului.
Lucrători: Un rol comun atribuit tuturor noilor neanderthalieni.
Lucrători buni: Un upgrade al rolului Lucrător cu o plată mai mare și comisioane mai mici.
Moderatori: Utilizatori care pot promova și retrograda alți membri și pot aproba noi membri, dar nu pot modifica setările trusei de instrumente.
Administratori: Utilizatori cu cele mai mari privilegii care pot adăuga șabloane de pagini web de phishing și pot modifica ratele de plată.
Cel mai simplu mod de a vă spune dacă sunteți ținta unui Neanderthal care încearcă să vă fure banii este să vă uitați la limbajul folosit„, a declarat Jizba. „Insistați asupra schimbului de bani și bunuri în persoană ori de câte ori este posibil atunci când aveți de-a face cu bunuri second-hand pe piețele online. Evitați să trimiteți bani dacă nu sunteți sigur unde vor ajunge.

Sursa: TheHackerNews.com

Tradus și adaptat cu www.DeepL.com/Translator (free version)