Новости Кто охотится на мамонтов в Telegram? Семья неандертальцев Telekopye ловит жертв в ловушку

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Telekopye - не просто Telegram-бот, а целая криминальная иерархия.


frrf0vlut5hzfoaygtxa66yn6o8flqnk.jpg


Новая финансово мотивированная группа злоумышленников использует вредоносного бота в Telegram для мошенничества.

Набор инструментов, названный Telekopye (от Telegram и копьё), функционирует как автоматизированное средство для создания фишинговых веб-страниц на основе готового шаблона, которые имитируют легитимные сайты для ввода платёжных данных. Бот автоматически генерирует фишинговые страницы и отправляет ссылки потенциальным жертвам, которых преступники называют «Мамонтами» (Mammoths).

По Для просмотра ссылки Войди или Зарегистрируйся ESET, первые версии Telekopye появились ещё в 2015 году, то есть инструмент активно развивается и используется уже много лет. Точное происхождение злоумышленников, названных «Неандертальцами» (Neanderthals), неизвестно. Однако хакеры используют русский язык в отправленных жертвам SMS-сообщениях и нацеливаются на популярные российские маркетплейсы.


wbhrz1711vvr683s6lrxjefem9updjsx.png


Структура работы Telekopye

В группе Telekopye есть иерархия по уровню пользователей, которая показывает высокую степень организации преступной группы:

  • администраторы – пользователи с наивысшими привилегиями, которые могут добавлять шаблоны фишинговых веб-страниц и изменять ставки выплат;
  • модераторы – пользователи, которые могут повышать и понижать уровень других участников, а также утверждать новых участников, но не могут изменять настройки инструментария;
  • рядовые работники – общая роль, отведенная всем новым Неандертальцам;
  • хорошие работники – повышенная роль работника с большей выплатой и меньшей комиссией;
  • заблокированные пользователи – пользователи, которым запрещено использовать Telekopye за вероятное нарушение правил проекта;

Схема атаки следующая: Неандертальцы находят Мамонтов и завоевывают их доверие, а затем присылают жертвам поддельную ссылку, сгенерированную при помощи Telekopye, по почте, SMS или в личных сообщениях в соцсетях.

Как только жертва вводит платёжные данные на фишинговой странице, данные используются для хищения средств, которые затем отмываются через криптовалюту. Администрация Telekopye получает процент с каждой успешной атаки.


mq2e1eo71ios9n6yrp1v7pirieubx4eo.png


Пример шаблона фишинговой страницы

Отличительная черта кампании – централизованная система выплат. Вместо перевода украденных средств на свои счета, Неандертальцы направляют их на общий счёт, контролируемый администратором Telekopye, что позволяет следить за действиями каждого мошенника.

Для защиты от атак рекомендуется использовать надёжные пароли, двухфакторную аутентификацию (2FA), антивирусные программы. Также ESET рекомендует всегда настаивать на личной встрече при покупке с рук и не отправлять деньги незнакомцам.

Ранее специалисты ESET Для просмотра ссылки Войди или Зарегистрируйся под названием Spacecolon, который используется для распространения вариантов вымогательского ПО Scarab по всему миру. Согласно исследованию, Spacecolon проникает в системы организаций, эксплуатируя уязвимости веб-серверов (например, Zerologon ) или используя методы брутфорса для атаки на учетные данные RDP (Remote Desktop Protocol).

Кроме того, команда ESET в августе Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся , нацеленную на клиентов популярного почтового сервиса Zimbra, которая распространилась на сотни организаций более чем в 10 стран мира. Несмотря на примитивность используемой схемы, злоумышленникам удалось отправить целевые письма под видом уведомлений от Zimbra сотням пользователей программного обеспечения для совместной работы. Письма содержали вредоносные вложения, направляющие на фишинговую страницу входа в почтовый ящик жертвы.
 
Источник новости
www.securitylab.ru

Похожие темы