Une nouvelle opération à motivation financière exploite un robot Telegram malveillant pour aider les acteurs malveillants à arnaquer leurs victimes.
Doublé Télécopieurun portemanteau de Telegram et kopye (qui signifie « lance » en russe), la boîte à outils fonctionne comme un moyen automatisé pour créer une page Web de phishing à partir d’un modèle prédéfini et envoyer l’URL aux victimes potentielles, nommées Mammoths par les criminels.
« Cette boîte à outils est implémentée sous la forme d’un robot Telegram qui, lorsqu’il est activé, fournit plusieurs menus faciles à naviguer sous la forme de boutons cliquables pouvant accueillir plusieurs escrocs à la fois », Radek Jizba, chercheur d’ESET. dit dans un rapport partagé avec The Hacker News.
Les origines exactes des acteurs de la menace, surnommés les Néandertaliens, ne sont pas claires, mais les preuves indiquent que la Russie est le pays d’origine des auteurs et des utilisateurs de la boîte à outils, en raison de l’utilisation de modèles de SMS russes et du fait qu’une majorité des marchés en ligne ciblés sont populaires dans le pays.
Plusieurs versions de Telekopye ont été détectées à ce jour, la plus ancienne remontant à 2015, ce qui suggère qu’il est activement maintenu et utilisé depuis plusieurs années.
Les chaînes d’attaque se déroulent ainsi : les Néandertaliens retrouvent leurs mammouths et tentent d’établir une relation avec eux, avant d’envoyer un faux lien créé à l’aide du kit de phishing Telekopye par e-mail, SMS ou message direct.
Une fois les détails du paiement saisis sur la fausse passerelle de carte de crédit/débit, les informations sont utilisées pour siphonner les fonds de la victime, qui sont ensuite blanchis via la crypto-monnaie.
Telekopye est complet, permettant à ses utilisateurs d’envoyer des e-mails de phishing, de générer des pages Web, d’envoyer des messages SMS, de créer des codes QR et de créer des images et des captures d’écran convaincantes de chèques et de reçus.
Les domaines de phishing utilisés pour héberger les pages sont enregistrés de telle sorte que l’URL finale commence par le nom de marque attendu : cdek.id7423.[.]ru, olx.id7423[.]ru et sbazar.id7423[.]ru — dans le but de les rendre difficiles à repérer.
Un aspect notable de l’opération est la nature centralisée des paiements. Plutôt que de transférer l’argent volé aux Mammoths vers leurs propres comptes, il est acheminé vers un compte partagé géré par l’administrateur de Telekopye, donnant à l’équipe principale un contrôle sur les opérations de chaque Néandertalien.
En d’autres termes, les Néandertaliens sont payés par l’administrateur de Telekopye après avoir demandé un paiement via la boîte à outils elle-même, mais pas avant qu’une partie de celui-ci ne soit versée sous forme de commission au propriétaire de la plateforme et au recommandateur.
« Telekopye vérifie le solde de Néandertal, la demande finale est approuvée par l’administrateur de Telekopye et, enfin, les fonds sont transférés vers le portefeuille de crypto-monnaie de Néandertal », a déclaré Jizba.
« Dans certaines implémentations de Telekopye, la première étape, demander un paiement, est automatisée et la négociation est lancée chaque fois qu’un Néandertalien atteint un certain seuil d’argent volé suite à des escroqueries réussies. »
Autre signe de la professionnalisation de l’entreprise criminelle, les utilisateurs et les opérateurs de Telekopye sont organisés selon une hiérarchie claire couvrant des rôles tels que les administrateurs, les modérateurs, les bons travailleurs (ou robots de support), les travailleurs et les bloqués.
- Bloqué : utilisateurs à qui il est interdit d’utiliser Telekopye pour avoir probablement enfreint les règles du projet.
- Ouvriers : Un rôle commun assigné à tous les nouveaux Néandertaliens.
- Bons travailleurs : une mise à niveau du rôle de travailleur avec un paiement plus important et des frais de commission inférieurs.
- Modérateurs : utilisateurs qui peuvent promouvoir et rétrograder d’autres membres et approuver de nouveaux membres, mais ne peuvent pas modifier les paramètres de la boîte à outils.
- Administrateurs : utilisateurs disposant des privilèges les plus élevés qui peuvent ajouter des modèles de pages Web de phishing et modifier les taux de paiement.
« Le moyen le plus simple de savoir si vous êtes la cible d’un Néandertalien qui tente de vous voler votre argent est d’examiner le langage utilisé », a déclaré Jizba. « Insistez autant que possible sur les échanges d’argent et de biens en personne lorsque vous traitez des biens d’occasion sur les marchés en ligne. Évitez d’envoyer de l’argent à moins que vous ne sachiez exactement où il ira. »