Нова финансово мотивирана операция използва зловреден бот на Telegram, за да помогне на заплахи да измамят своите жертви.

Наречен Telekopye, портманто от Telegram и kopye (означаващо „копие“ на руски език), комплектът инструменти функционира като автоматизирано средство за създаване на фишинг уебстраница от предварително подготвен шаблон и изпращане на URL адреса на потенциални жертви, наричани от престъпниците с кодовото име Mammoths.

„Този инструментариум е реализиран като бот за Telegram, който, когато бъде активиран, предоставя няколко лесни за навигация менюта под формата на бутони, които могат да се кликнат и в които могат да се настанят много измамници наведнъж“, казва изследователят от ESET Радек Джизба в доклад, споделен с The Hacker News.

Точният произход на участниците в заплахата, наречени неандерталци, не е ясен, но доказателствата сочат Русия като страна на произход на авторите и потребителите на инструментариума, поради използването на руски SMS шаблони и факта, че по-голямата част от целевите онлайн пазари са популярни в страната.

До момента са открити множество версии на Telekopye, като най-ранната датира чак от 2015 г., което предполага, че той се поддържа и използва активно от няколко години.

Веригите на атаката протичат по следния начин: Неандерталците намират своите мамути и се опитват да изградят връзка с тях, преди да изпратят фалшива връзка, създадена с помощта на фишинг комплекта Telekopye, по имейл, SMS или директно съобщение.

След като данните за плащане бъдат въведени на фалшивия шлюз за кредитни/дебитни карти, информацията се използва за изтегляне на средства от жертвата, които след това се изпират чрез криптовалута.

Telekopye е напълно функционален, като позволява на потребителите си да изпращат фишинг имейли, да генерират уебстраници, да изпращат SMS съобщения, да създават QR кодове и да създават убедителни изображения и скрийншоти на чекове и разписки.

Домейните за фишинг, използвани за хостване на страниците, са регистрирани така, че крайният URL адрес започва с очакваното име на марката – cdek.id7423[.]ru, olx.id7423[.]ru и sbazar.id7423[.]ru – с цел да се направи трудно тяхното откриване.

Забележителен аспект на операцията е централизираният характер на плащанията. Вместо да се превеждат откраднатите от мамутите пари в собствените им сметки, те се насочват към обща сметка, управлявана от администратора на Telekopye, което дава на основния екип възможност да наблюдава операциите на всеки неандерталец.
С други думи, неандерталците получават заплащане от администратора на Telekopye, след като поискат изплащане чрез самия инструментариум, но не и преди част от него да бъде взета като комисиона за собственика на платформата и препоръчителя.

„Telekopye проверява баланса на неандерталеца, окончателната заявка се одобрява от администратора на Telekopye и накрая средствата се прехвърлят в криптовалутния портфейл на неандерталеца“, казва Джизба.

„В някои имплементации на Telekopye първата стъпка, искането за изплащане, е автоматизирана и договарянето се инициира, когато неандерталецът достигне определен праг на откраднатите пари от успешно осъществени измами.“
В това, което е още един знак за професионализацията на престъпното предприятие, потребителите и операторите на Telekopye са организирани в ясна йерархия, обхващаща роли като администратори, модератори, добри работници (или ботове за поддръжка), работници и блокирани .

  • Блокирани:  потребители, на които е забранено да използват Telekopye, тъй като вероятно нарушават правилата на проекта.
  • Работници: Обща роля, която се дава на всички нови неандерталци.
  • Добри работници: Подобрение на ролята Работник с по-голямо възнаграждение и по-ниски комисионни.
  • Модератори: Потребители, които могат да повишават и понижават други членове и да одобряват нови членове, но не могат да променят настройките на инструментариума.
  • Администратори: Потребители с най-високи права, които могат да добавят шаблони на фишинг страници и да променят тарифите за изплащане.

„Най-лесният начин да разберете дали сте обект на нападение от неандерталец, който се опитва да открадне парите ви, е като погледнете използвания език“, казва Джизба. „Настоявайте за лична размяна на пари и стоки, когато това е възможно, когато търгувате със стоки втора употреба на онлайн пазари. Избягвайте да изпращате пари, освен ако не сте сигурни къде ще отидат.“

 

 

Източник: The Hacker News

Подобни публикации

19 януари 2025

Нарушението на данните на Wolf Haldenstein зася...

Адвокатската кантора Wolf Haldenstein Adler Freeman & Herz LLP ...
19 януари 2025

САЩ призовават за преодоляване на разликата в р...

Агенцията за киберсигурност CISA и други правителствени агенции при...
19 януари 2025

САЩ наложиха санкции за масираната хакерска ата...

Министерството на финансите обяви в петък санкции във връзка с маща...
19 януари 2025

Фалшивият Брад Пит е разкрит: как етичен хакер ...

Маруан Уараб, бивш измамник и киберпрестъпник, превърнал се в етиче...
18 януари 2025

FTC нарежда на GoDaddy да коригира неадекватнит...

След като установи, че политиките за сигурност на GoDaddy са недост...
17 януари 2025

SSO - опростете достъпа и защитете бизнеса си

Днес предприятията са изправени пред сложна работна среда, в която ...
17 януари 2025

Руски кибершпиони са хванати да извършват Spear...

Изследователи на Microsoft са разкрили, че руски разузнавателни аге...
17 януари 2025

Cisco представи AI Defense

Тази седмица Cisco представи AI Defense – ново решение, предн...
Бъдете социални
Още по темата
15/01/2025

Хакери измамиха 100 служите...

Службата на финансовия контрольор в Масачузетс...
06/01/2025

Фалшивите CAPTCHA атаки нар...

Експерти по сигурността предупреждават, че през...
06/01/2025

ИТ гигантът Atos реагира на...

Френският гигант в областта на ИТ...
Последно добавени
19/01/2025

Нарушението на данните на W...

Адвокатската кантора Wolf Haldenstein Adler Freeman...
19/01/2025

САЩ призовават за преодоляв...

Агенцията за киберсигурност CISA и други...
19/01/2025

САЩ наложиха санкции за мас...

Министерството на финансите обяви в петък...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!