Una nueva operación con motivación financiera está aprovechando un bot malicioso de Telegram para ayudar a los actores de amenazas a estafar a sus víctimas.
Apodado telecopiaun acrónimo de Telegram y kopye (que significa “lanza” en ruso), el conjunto de herramientas funciona como un medio automatizado para crear una página web de phishing a partir de una plantilla prefabricada y enviar la URL a víctimas potenciales, cuyo nombre en código es Mammoths por los delincuentes.
“Este conjunto de herramientas se implementa como un bot de Telegram que, cuando se activa, proporciona varios menús fáciles de navegar en forma de botones en los que se puede hacer clic y que pueden acomodar a muchos estafadores a la vez”, dijo el investigador de ESET Radek Jizba. dicho en un informe compartido con The Hacker News.
Los orígenes exactos de los actores de la amenaza, denominados neandertales, no están claros, pero la evidencia apunta a Rusia como el país de origen de los autores y usuarios del kit de herramientas, debido al uso de plantillas de SMS rusas y al hecho de que la mayoría de los mercados en línea objetivo son populares en el país.
Hasta la fecha se han detectado múltiples versiones de Telekopye, la más antigua data de 2015, lo que sugiere que se está manteniendo y utilizando activamente durante varios años.
Las cadenas de ataque proceden de la siguiente manera: los neandertales encuentran a sus mamuts e intentan establecer una relación con ellos, antes de enviar un enlace falso creado con el kit de phishing Telekopye por correo electrónico, SMS o mensaje directo.
Una vez que se ingresan los detalles de pago en la puerta de enlace de la tarjeta de crédito/débito falsa, la información se utiliza para desviar fondos de la víctima, que luego se blanquean mediante criptomonedas.
Telekopye tiene todas las funciones y permite a sus usuarios enviar correos electrónicos de phishing, generar páginas web, enviar mensajes SMS, crear códigos QR y crear imágenes y capturas de pantalla convincentes de cheques y recibos.
Los dominios de phishing utilizados para alojar las páginas se registran de manera que la URL final comience con el nombre de marca esperado: cdek.id7423.[.]es, olx.id7423[.]ru y sbazar.id7423[.]ru – en un esfuerzo por hacerlos difíciles de detectar.
Un aspecto notable de la operación es la naturaleza centralizada de los pagos. En lugar de transferir el dinero robado a los mamuts a sus propias cuentas, se canaliza a una cuenta compartida administrada por el administrador de Telekopye, lo que le brinda al equipo central la supervisión de las operaciones de cada neandertal.
En otras palabras, los neandertales reciben el pago del administrador de Telekopye después de solicitar un pago a través del propio conjunto de herramientas, pero no antes de que una parte del mismo se lleve como comisión al propietario de la plataforma y al recomendador.
“Telekopye comprueba el saldo del neandertal, la solicitud final es aprobada por el administrador de Telekopye y, finalmente, los fondos se transfieren a la billetera de criptomonedas del neandertal”, dijo Jizba.
“En algunas implementaciones de Telekopye, el primer paso, solicitar un pago, está automatizado y la negociación se inicia cada vez que un neandertal alcanza un cierto umbral de dinero robado en estafas realizadas con éxito”.
En lo que es una señal más de la profesionalización de la empresa criminal, los usuarios y operadores de Telekopye están organizados en una jerarquía clara que abarca roles como administradores, moderadores, buenos trabajadores (o robots de soporte), trabajadores y bloqueados.
- Bloqueado: usuarios a quienes se les prohíbe usar Telekopye por probablemente infringir las reglas del proyecto.
- Trabajadores: Un rol común asignado a todos los nuevos neandertales.
- Buenos trabajadores: una mejora del rol de trabajador con un pago mayor y comisiones más bajas.
- Moderadores: usuarios que pueden ascender y degradar a otros miembros y aprobar nuevos miembros, pero no pueden modificar la configuración del kit de herramientas.
- Administradores: usuarios con los privilegios más altos que pueden agregar plantillas de páginas web de phishing y modificar las tasas de pago.
“La forma más fácil de saber si estás siendo atacado por un neandertal que intenta robar tu dinero es observando el lenguaje utilizado”, dijo Jizba. “Insista en el intercambio de dinero y bienes en persona siempre que sea posible cuando se trate de bienes de segunda mano en los mercados en línea. Evite enviar dinero a menos que esté seguro de adónde irá”.