Novo Bot do Telegram "Telekopye" alimentando grandes golpes de Phishing na Rússia
25 de Agosto de 2023

Uma nova operação financeiramente motivada está usando um bot malicioso do Telegram para ajudar os atores de ameaças a enganar suas vítimas.

Chamada Telekopye, uma junção das palavras Telegram e kopye (que significa "lança" em russo), a ferramenta funciona como um meio automatizado de criar uma página de phishing a partir de um modelo pronto e enviar o URL para potenciais vítimas, apelidadas de Mamutes pelos criminosos.

"Essa ferramenta é implementada como um bot do Telegram que, quando ativado, fornece vários menus fáceis de navegar na forma de botões clicáveis que podem acomodar muitos golpistas de uma vez", disse o pesquisador da ESET, Radek Jizba, em um relatório compartilhado com The Hacker News.

As origens exatas dos atores de ameaças, apelidados de Neandertais, são incertas, mas as evidências apontam para a Rússia como o país de origem dos autores e usuários da ferramenta, devido ao uso de modelos de SMS em russo e ao fato de que a maioria dos mercados online visados são populares no país.

Várias versões do Telekopye foram detectadas até o momento, a mais antiga remonta a 2015, sugerindo que está sendo ativamente mantida e usada por vários anos.

As cadeias de ataque procedem da seguinte forma: os Neandertais encontram seus Mamutes e tentam construir um relacionamento com eles, antes de enviar um link falso criado usando o kit de phishing do Telekopye via e-mail, SMS ou mensagem direta.

Depois que os detalhes do pagamento são inseridos no gateway falso de cartão de crédito/débito, as informações são usadas para desviar fundos da vítima, que são então lavados através de criptomoeda.

Telekopye é totalmente funcional, permitindo a seus usuários enviar e-mails de phishing, gerar páginas da web, enviar mensagens SMS, criar códigos QR e criar imagens e capturas de tela convincentes de cheques e recibos.

Os domínios de phishing usados para hospedar as páginas são registrados de tal forma que a URL final começa com o nome da marca esperado -- cdek[.]id7423[.]ru, olx[.]id7423[.]ru, e sbazar[.]id7423[.]ru -- em uma tentativa de torná-los difíceis de serem identificados.

Um aspecto notável da operação é a natureza centralizada dos pagamentos.

Em vez de transferir dinheiro roubado dos Mamutes para suas próprias contas, ele é canalizado para uma conta compartilhada gerenciada pelo administrador do Telekopye, dando à equipe central uma supervisão das operações de cada Neandertal.

Em outras palavras, os Neandertais são pagos pelo administrador do Telekopye após solicitarem um pagamento por meio da própria ferramenta, mas não antes de uma parte ser retirada como taxas de comissão para o proprietário da plataforma e o recomendador.

"Telekopye verifica o saldo do Neandertal, a solicitação final é aprovada pelo administrador do Telekopye e, finalmente, os fundos são transferidos para a carteira de criptomoeda do Neandertal", disse Jizba.

"Em algumas implementações do Telekopye, o primeiro passo, solicitar um pagamento, é automatizado e a negociação é iniciada sempre que um Neandertal atinge um certo patamar de dinheiro roubado de golpes bem-sucedidos."

Em um sinal adicional da profissionalização da atividade criminosa, usuários e operadores do Telekopye são organizados em uma hierarquia clara que abrange funções como administradores, moderadores, bons trabalhadores (ou bots de suporte), trabalhadores e bloqueados -

Bloqueados: usuários que são proibidos de usar o Telekopye por provavelmente violarem as regras do projeto.

Trabalhadores: papel comum atribuído a todos os novos Neandertais.

Bons trabalhadores: uma atualização do papel de Worker com um maior pagamento e taxas de comissão mais baixas.

Moderadores: usuários que podem promover e rebaixar outros membros e aprovar novos membros, mas não podem modificar as configurações do kit de ferramentas.

Administradores: usuários com os maiores privilégios, que podem adicionar modelos de página de phishing na web e alterar taxas de pagamento.

"A maneira mais fácil de dizer se você está sendo alvo de um Neandertal tentando roubar seu dinheiro é observando a linguagem usada", disse Jizba.

"Insista em trocar dinheiro e mercadorias pessoalmente sempre que possível ao lidar com bens de segunda mão em mercados online.

Evite enviar dinheiro a menos que você esteja certo de para onde ele irá."

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...