Новая финансово мотивированная группа злоумышленников использует вредоносного бота в Telegram для мошенничества.
Набор инструментов, названный Telekopye (от Telegram и копьё), функционирует как автоматизированное средство для создания фишинговых веб-страниц на основе готового шаблона, которые имитируют легитимные сайты для ввода платёжных данных. Бот автоматически генерирует фишинговые страницы и отправляет ссылки потенциальным жертвам, которых преступники называют “Мамонтами” (Mammoths).
По даннымESET, первые версии Telekopye появились ещё в 2015 году, то есть инструмент активно развивается и используется уже много лет. Точное происхождение злоумышленников, названных “Неандертальцами” (Neanderthals), неизвестно. Однако хакеры используют русский язык в отправленных жертвам SMS-сообщениях и нацеливаются на популярные российские маркетплейсы.
Структура работы Telekopye
В группе Telekopye есть иерархия по уровню пользователей, которая показывает высокую степень организации преступной группы:
- администраторы – пользователи с наивысшими привилегиями, которые могут добавлять шаблоны фишинговых веб-страниц и изменять ставки выплат;
- модераторы – пользователи, которые могут повышать и понижать уровень других участников, а также утверждать новых участников, но не могут изменять настройки инструментария;
- рядовые работники – общая роль, отведенная всем новым Неандертальцам;
- хорошие работники – повышенная роль работника с большей выплатой и меньшей комиссией;
- заблокированные пользователи – пользователи, которым запрещено использовать Telekopye за вероятное нарушение правил проекта;
Схема атаки следующая: Неандертальцы находят Мамонтов и завоевывают их доверие, а затем присылают жертвам поддельную ссылку, сгенерированную при помощи Telekopye, по почте, SMS или в личных сообщениях в соцсетях.
Как только жертва вводит платёжные данные на фишинговой странице, данные используются для хищения средств, которые затем отмываются через криптовалюту. Администрация Telekopye получает процент с каждой успешной атаки.
Пример шаблона фишинговой страницы
Отличительная черта кампании – централизованная система выплат. Вместо перевода украденных средств на свои счета, Неандертальцы направляют их на общий счёт, контролируемый администратором Telekopye, что позволяет следить за действиями каждого мошенника.
Для защиты от атак рекомендуется использовать надёжные пароли, двухфакторную аутентификацию (2FA), антивирусные программы. Также ESET рекомендует всегда настаивать на личной встрече при покупке с рук и не отправлять деньги незнакомцам.
Ранее специалисты ESET обнаружили вредоносный набор инструментов под названием Spacecolon, который используется для распространения вариантов вымогательского ПО Scarab по всему миру. Согласно исследованию, Spacecolon проникает в системы организаций, эксплуатируя уязвимости веб-серверов (например, Zerologon) или используя методы брутфорса для атаки на учетные данные RDP (Remote Desktop Protocol).
Кроме того, команда ESET в августе выявила к рупномасштабную фишинговую кампанию , нацеленную на клиентов популярного почтового сервиса Zimbra, которая распространилась на сотни организаций более чем в 10 стран мира. Несмотря на примитивность используемой схемы, злоумышленникам удалось отправить целевые письма под видом уведомлений от Zimbra сотням пользователей программного обеспечения для совместной работы. Письма содержали вредоносные вложения, направляющие на фишинговую страницу входа в почтовый ящик жертвы.