Новая финансово мотивированная операция использует вредоносного Telegram-бота, чтобы помочь злоумышленникам обманывать своих жертв.
Получивший название Telekopye, представляющее собой комбинацию Telegram и kopye (что по-русски означает "копье"), инструментарий функционирует как автоматизированное средство для создания фишинговой веб-страницы на основе готового шаблона и отправки URL потенциальным жертвам под кодовым названием Mammoths у преступников.
"Этот инструментарий реализован в виде Telegram-бота, который при активации предоставляет несколько удобных для навигации меню в виде кликабельных кнопок, которые могут вместить сразу множество мошенников", - сказал исследователь ESET Радек Джизба в отчете, опубликованном в Hacker News.
Точное происхождение участников угрозы, получивших название неандертальцев, неясно, но факты указывают на Россию как страну происхождения авторов инструментария и пользователей, благодаря использованию российских шаблонов SMS и тому факту, что большинство целевых онлайн-площадок популярны в стране.
На сегодняшний день обнаружено несколько версий Telekopye, самая ранняя из которых относится к 2015 году, что позволяет предположить, что она активно поддерживается и используется в течение нескольких лет.
Цепочки атак протекают следующим образом: неандертальцы находят своих мамонтов и пытаются установить с ними контакт, прежде чем отправить поддельную ссылку, созданную с помощью фишингового набора Telekopye, по электронной почте, SMS или прямым сообщением.
Как только платежные данные вводятся на шлюзе поддельной кредитной / дебетовой карты, информация используется для выкачивания средств у жертвы, которые затем отмываются с помощью криптовалюты.
Telekopye является полнофункциональным, позволяя своим пользователям отправлять фишинговые электронные письма, создавать веб-страницы, отправлять SMS-сообщения, создавать QR-коды и создавать убедительные изображения и скриншоты чеков и квитанций.
Фишинговые домены, используемые для размещения страниц, зарегистрированы таким образом, что конечный URL начинается с ожидаемого названия бренда - cdek.id7423[.]ru, olx.id7423[.]ru и sbazar.id7423[.]ru - в попытке затруднить их обнаружение.
Примечательным аспектом работы является централизованный характер выплат. Вместо перевода денег, украденных у мамонтов, на их собственные аккаунты, они направляются на общий аккаунт, управляемый администратором Telekopye, что дает основной команде возможность контролировать операции каждого неандертальца.
Другими словами, администратор Telekopye выплачивает неандертальцам деньги после запроса о выплате через сам инструментарий, но не раньше, чем часть их будет взята в качестве комиссионных владельцу платформы и рекомендателю.
"Telekopye проверяет баланс неандертальца, окончательный запрос утверждается администратором Telekopye и, наконец, средства переводятся на криптовалютный кошелек неандертальца", - сказал Джизба.
"В некоторых реализациях Telekopye первый шаг - запрос на выплату - автоматизирован, и переговоры начинаются всякий раз, когда неандерталец достигает определенного порога украденных денег в результате успешно провернутых мошенничеств".
Что является еще одним признаком профессионализации преступного бизнеса, пользователи и операторы Telekopye организованы в четкую иерархию, охватывающую такие роли, как администраторы, модераторы, хорошие работники (или боты поддержки), рабочие и заблокированные -
- Заблокирован: Пользователи, которым запрещено использовать Telekopye за вероятное нарушение правил проекта.
- Рабочие: общая роль, отведенная всем новым неандертальцам.
- Хорошие работники: повышение роли работника с большей выплатой и более низкими комиссионными сборами.
- Модераторы: пользователи, которые могут повышать и понижать в должности других участников и утверждать новых участников, но не могут изменять настройки инструментария.
- Администраторы: пользователи с наивысшими привилегиями, которые могут добавлять шаблоны фишинговых веб-страниц и изменять ставки выплат.
"Самый простой способ определить, являетесь ли вы мишенью неандертальца, пытающегося украсть ваши деньги, - это посмотреть на используемый язык", - сказал Джизба. "Настаивайте на личном обмене деньгами и товарами, когда это возможно, при торговле подержанными товарами на онлайн-рынках. Избегайте отправки денег, если вы не уверены, куда они пойдут".
