Нова финансово мотивирана операция използва зловреден бот на Telegram, за да помогне на заплахи да измамят своите жертви.
Наречен Telekopye, портманто от Telegram и kopye (означаващо „копие“ на руски език), комплектът инструменти функционира като автоматизирано средство за създаване на фишинг уебстраница от предварително подготвен шаблон и изпращане на URL адреса на потенциални жертви, наричани от престъпниците с кодовото име Mammoths.
„Този инструментариум е реализиран като бот за Telegram, който, когато бъде активиран, предоставя няколко лесни за навигация менюта под формата на бутони, които могат да се кликнат и в които могат да се настанят много измамници наведнъж“, казва изследователят от ESET Радек Джизба в доклад, споделен с The Hacker News.
Точният произход на участниците в заплахата, наречени неандерталци, не е ясен, но доказателствата сочат Русия като страна на произход на авторите и потребителите на инструментариума, поради използването на руски SMS шаблони и факта, че по-голямата част от целевите онлайн пазари са популярни в страната.
До момента са открити множество версии на Telekopye, като най-ранната датира чак от 2015 г., което предполага, че той се поддържа и използва активно от няколко години.
Веригите на атаката протичат по следния начин: Неандерталците намират своите мамути и се опитват да изградят връзка с тях, преди да изпратят фалшива връзка, създадена с помощта на фишинг комплекта Telekopye, по имейл, SMS или директно съобщение.
След като данните за плащане бъдат въведени на фалшивия шлюз за кредитни/дебитни карти, информацията се използва за изтегляне на средства от жертвата, които след това се изпират чрез криптовалута.
Telekopye е напълно функционален, като позволява на потребителите си да изпращат фишинг имейли, да генерират уебстраници, да изпращат SMS съобщения, да създават QR кодове и да създават убедителни изображения и скрийншоти на чекове и разписки.
Домейните за фишинг, използвани за хостване на страниците, са регистрирани така, че крайният URL адрес започва с очакваното име на марката – cdek.id7423[.]ru, olx.id7423[.]ru и sbazar.id7423[.]ru – с цел да се направи трудно тяхното откриване.
Забележителен аспект на операцията е централизираният характер на плащанията. Вместо да се превеждат откраднатите от мамутите пари в собствените им сметки, те се насочват към обща сметка, управлявана от администратора на Telekopye, което дава на основния екип възможност да наблюдава операциите на всеки неандерталец.
С други думи, неандерталците получават заплащане от администратора на Telekopye, след като поискат изплащане чрез самия инструментариум, но не и преди част от него да бъде взета като комисиона за собственика на платформата и препоръчителя.
„Telekopye проверява баланса на неандерталеца, окончателната заявка се одобрява от администратора на Telekopye и накрая средствата се прехвърлят в криптовалутния портфейл на неандерталеца“, казва Джизба.
„В някои имплементации на Telekopye първата стъпка, искането за изплащане, е автоматизирана и договарянето се инициира, когато неандерталецът достигне определен праг на откраднатите пари от успешно осъществени измами.“
В това, което е още един знак за професионализацията на престъпното предприятие, потребителите и операторите на Telekopye са организирани в ясна йерархия, обхващаща роли като администратори, модератори, добри работници (или ботове за поддръжка), работници и блокирани .
„Най-лесният начин да разберете дали сте обект на нападение от неандерталец, който се опитва да открадне парите ви, е като погледнете използвания език“, казва Джизба. „Настоявайте за лична размяна на пари и стоки, когато това е възможно, когато търгувате със стоки втора употреба на онлайн пазари. Избягвайте да изпращате пари, освен ако не сте сигурни къде ще отидат.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.