Finansal motivasyona sahip yeni bir operasyon, tehdit aktörlerinin kurbanlarını dolandırmasına yardımcı olmak için kötü niyetli bir Telegram botundan yararlanıyor.
Dublajlı TelekopyeTelegram ve kopye’nin (Rusça’da “mızrak” anlamına gelir) birleşimi olan araç seti, önceden hazırlanmış bir şablondan kimlik avı web sayfası oluşturmak ve URL’yi suçlular tarafından Mamut kod adı verilen potansiyel kurbanlara göndermek için otomatik bir araç olarak işlev görüyor.
ESET araştırmacısı Radek Jizba, “Bu araç seti, etkinleştirildiğinde birçok dolandırıcıyı aynı anda barındırabilen, tıklanabilir düğmeler biçiminde gezinmesi kolay birkaç menü sağlayan bir Telegram botu olarak uygulandı.” söz konusu The Hacker News ile paylaşılan bir raporda.
Neandertaller olarak adlandırılan tehdit aktörlerinin kesin kökenleri belirsiz ancak Rus SMS şablonlarının kullanılması ve hedeflenen çevrimiçi pazarların çoğunun ülkede popülerdir.
Bugüne kadar Telekopye’nin birden fazla sürümü tespit edildi; en eskisi 2015’e kadar uzanıyor ve birkaç yıldır aktif olarak bakımının yapıldığına ve kullanıldığına işaret ediyor.
Saldırı zincirleri şu şekilde ilerler: Neandertaller, Telekopye kimlik avı kiti kullanılarak oluşturulan sahte bir bağlantıyı e-posta, SMS veya doğrudan mesaj yoluyla göndermeden önce Mamutlarını bulur ve onlarla yakınlık kurmaya çalışır.
Ödeme ayrıntıları sahte kredi/banka kartı ağ geçidine girildiğinde, bu bilgiler kurbanın parasını çekmek için kullanılıyor ve bu bilgiler daha sonra kripto para birimi aracılığıyla aklanıyor.
Telekopye, kullanıcılarının kimlik avı e-postaları göndermesine, web sayfaları oluşturmasına, SMS mesajları göndermesine, QR kodları oluşturmasına ve çek ve makbuzların ikna edici görüntüleri ve ekran görüntüleri oluşturmasına olanak tanıyan tam özelliklidir.
Sayfaları barındırmak için kullanılan kimlik avı alanları, nihai URL beklenen marka adıyla (cdek.id7423) başlayacak şekilde kaydedilir.[.]ru, olx.id7423[.]ru ve sbazar.id7423[.]ru – fark edilmelerini zorlaştırmak için.
Operasyonun dikkate değer bir yönü, ödemelerin merkezi doğasıdır. Mamutlardan çalınan para kendi hesaplarına aktarmak yerine, Telekopye yöneticisi tarafından yönetilen ortak bir hesaba aktarılıyor ve çekirdek ekibe her Neandertalin operasyonları hakkında gözetim olanağı sağlanıyor.
Başka bir deyişle, Neandertaller, araç seti aracılığıyla ödeme talep ettikten sonra Telekopye yöneticisi tarafından ödeme alıyor, ancak bunun bir kısmı platform sahibine ve tavsiyeciye komisyon ücreti olarak alınmadan önce değil.
Jizba, “Telekopye Neandertal’in dengesini kontrol ediyor, son talep Telekopye yöneticisi tarafından onaylanıyor ve son olarak fonlar Neandertal’in kripto para cüzdanına aktarılıyor” dedi.
“Bazı Telekopye uygulamalarında, ödeme talep eden ilk adım otomatik hale getiriliyor ve bir Neandertal, başarılı bir şekilde gerçekleştirdiği dolandırıcılık sonucu çalınan paranın belirli bir eşiğine ulaştığında müzakere başlatılıyor.”
Suç örgütünün profesyonelleşmesinin bir başka işareti de Telekopye kullanıcıları ve operatörlerinin; yöneticiler, moderatörler, iyi çalışanlar (veya destek botları), çalışanlar ve engellenenler gibi rolleri kapsayan açık bir hiyerarşi içinde organize olmalarıdır.
- Engellendi: Proje kurallarını ihlal etme ihtimali nedeniyle Telekopye’yi kullanması yasaklanan kullanıcılar.
- İşçiler: Tüm yeni Neandertallere atanan ortak bir rol.
- İyi çalışanlar: Daha büyük ödeme ve daha düşük komisyon ücretleri ile İşçi rolünün yükseltilmesi.
- Moderatörler: Diğer üyeleri yükseltip düşürebilen ve yeni üyeleri onaylayabilen ancak araç seti ayarlarını değiştiremeyen kullanıcılar.
- Yöneticiler: Kimlik avı web sayfası şablonları ekleyebilen ve ödeme oranlarını değiştirebilen en yüksek ayrıcalıklara sahip kullanıcılar.
Jizba, “Paranızı çalmaya çalışan bir Neandertal tarafından hedef alınıp alınmadığınızı anlamanın en kolay yolu kullanılan dile bakmaktır” dedi. “Çevrimiçi pazarlarda ikinci el ürünlerle uğraşırken, mümkün olduğunca yüz yüze para ve eşya alışverişinde ısrar edin. Nereye gideceğinden emin olmadığınız sürece para göndermekten kaçının.”
