Una nueva operación motivada financieramente está aprovechando un bot malicioso de Telegram para ayudar a los actores de amenazas a estafar a sus víctimas.
Apodado Telekopye, un acrónimo de Telegram y kopye (que significa «lanza» en ruso), el kit de herramientas funciona como un medio automatizado para crear una página web de phishing a partir de una plantilla prefabricada y enviar la URL a víctimas potenciales, con nombre en código Mammoths por los delincuentes.
«Este kit de herramientas se implementa como un bot de Telegram que, cuando se activa, proporciona varios menús fáciles de navegar en forma de botones en los que se puede hacer clic que pueden acomodar a muchos estafadores a la vez», dijo el investigador de ESET, Radek Jizba, en un informe compartido con The Hacker News.
Los orígenes exactos de los actores de amenazas, apodados neandertales, no están claros, pero la evidencia apunta a Rusia como el país de origen de los autores y usuarios del kit de herramientas, debido al uso de plantillas de SMS rusas y al hecho de que la mayoría de los mercados en línea específicos son populares en el país.
Se han detectado múltiples versiones de Telekopye hasta la fecha, la más temprana data de 2015, lo que sugiere que se está manteniendo y utilizando activamente durante varios años.
Las cadenas de ataque proceden así: los neandertales encuentran a sus mamuts y tratan de establecer una relación con ellos, antes de enviar un enlace falso creado utilizando el kit de phishing Telekopye por correo electrónico, SMS o un mensaje directo.
Una vez que se ingresan los detalles de pago en la pasarela de tarjeta de crédito / débito falsa, la información se utiliza para desviar fondos de la víctima, que luego se lavan a través de criptomonedas.
Telekopye tiene todas las funciones, lo que permite a sus usuarios enviar correos electrónicos de phishing, generar páginas web, enviar mensajes SMS, crear códigos QR y crear imágenes convincentes y capturas de pantalla de cheques y recibos.
Los dominios de phishing utilizados para alojar las páginas se registran de tal manera que la URL final comienza con el nombre de marca esperado: cdek.id7423[.] ru, olx.id7423[.] ru y sbazar.id7423[.] ru — en un esfuerzo por hacerlos difíciles de detectar.
Un aspecto notable de la operación es la naturaleza centralizada de los pagos. En lugar de transferir el dinero robado de los mamuts a sus propias cuentas, se canaliza a una cuenta compartida administrada por el administrador de Telekopye, lo que le da al equipo central una supervisión de las operaciones de cada neandertal.
En otras palabras, los neandertales son pagados por el administrador de Telekopye después de solicitar un pago a través del kit de herramientas en sí, pero no antes de que una parte de él se tome como comisión para el propietario de la plataforma y el recomendador.
«Telekopye verifica el saldo del neandertal, la solicitud final es aprobada por el administrador de Telekopye y, finalmente, los fondos se transfieren a la billetera de criptomonedas del neandertal», dijo Jizba.
«En algunas implementaciones de Telekopye, el primer paso, pedir un pago, se automatiza y la negociación se inicia cada vez que un neandertal alcanza un cierto umbral de dinero robado por estafas realizadas con éxito».
En lo que es una señal más de la profesionalización de la empresa criminal, los usuarios y operadores de Telekopye están organizados en una jerarquía clara que abarca roles como administradores, moderadores, buenos trabajadores (o bots de soporte), trabajadores y bloqueados.
- Bloqueado: Usuarios a los que se les prohíbe usar Telekopye por infringir las reglas del proyecto.
- Trabajadores: Un papel común asignado a todos los nuevos neandertales.
- Buenos trabajadores: Una actualización del rol de trabajador con un pago mayor y tarifas de comisión más bajas.
- Moderadores: usuarios que pueden promover y degradar a otros miembros y aprobar nuevos miembros, pero no pueden modificar la configuración del kit de herramientas.
- Administradores: usuarios con los privilegios más altos que pueden agregar plantillas de páginas web de phishing y alterar las tasas de pago.
«La forma más fácil de saber si estás siendo atacado por un neandertal que intenta robar tu dinero es mirando el lenguaje utilizado», dijo Jizba. «Insista en el intercambio de dinero y bienes en persona siempre que sea posible cuando se trate de bienes de segunda mano en los mercados en línea. Evite enviar dinero a menos que esté seguro de dónde irá».
Fuente y redacción: underc0de.org