Investigadores da ESET descobriram um kit de ferramentas designado “Telekopye” que ajuda agentes maliciosos com menor experiência técnica a cometer cibercrimes. O Telekopye está implementado como um bot de Telegram. Ele inclui capacidades como criar websites de phishing, enviar SMS e emails de phishing, bem como criar falsas capturas de ecrã.
Segundo a telemetria da ESET, a ferramenta Telekopye está ativa desde 2015 e, ainda mais, encontra-se em desenvolvimento ativo. Várias pistas apontam para a Rússia como o país de origem dos autores e utilizadores desta ferramenta.
“Descobrimos o código-fonte de um kit de ferramentas que ajuda tanto os agentes maliciosos que eles não precisam de ser particularmente versados em TI, mas apenas de ser persuasivos para com as vítimas. Este kit de ferramentas é implementado como um bot de Telegram que, quando ativado, fornece vários menus fáceis de navegar na forma de botões clicáveis que podem acomodar muitos cibercriminosos de uma só vez,” explica o investigador da ESET, Radek Jizba. “As vítimas desta operação fraudulenta são designadas ‘Mamutes’ pelos agentes maliciosos. Por uma questão de clareza, e seguindo a mesma lógica, referimo-nos nas nossas conclusões aos cibercriminosos que utilizam o Telekopye como Neandertais.”
Áreas de operação e funcionalidades
O Telekopye foi transferido várias vezes para o VirusTotal, principalmente da Rússia, Ucrânia, assim como Uzbequistão. Estes são os países a partir dos quais os atacantes normalmente operam, com base na língua utilizada nos comentários do código e na localização da maioria dos mercados visados. Apesar de os principais alvos dos cibercriminosos serem mercados online populares na Rússia, como o OLX e o YULA, a ESET também observou alvos que não são nativos da Rússia, como o BlaBlaCar ou o eBay, e até outros que não têm nada em comum com a Rússia, como o JOFOGAS e o Sbazar.
A ESET conseguiu recolher várias versões do Telekopye, o que sugere um desenvolvimento ativo. O kit de ferramentas tem várias funcionalidades diferentes que os agentes maliciosos podem utilizar em toda a sua extensão. Estas incluem o envio de emails de phishing, a criação de páginas web de phishing, o envio de mensagens SMS, a criação de códigos QR, bem como a criação de falsas capturas de ecrã. Além disso, algumas versões do Telekopye podem armazenar dados da vítima no disco onde o bot é executado. Tratam-se normalmente de detalhes de cartões ou endereços de email.
Cibercrime organizado por hierarquias
Os cibercriminosos não transferem o dinheiro roubado das vítimas para as suas próprias contas. Em vez disso, todos os agentes maliciosos usam uma conta Telekopye partilhada, controlada pelo administrador do Telekopye. O Telekopye mantém um registo do sucesso de cada atacante. O kit regista as contribuições associadas a essa conta partilhada – quer num simples ficheiro de texto, quer numa base de dados SQL. Consequentemente, os cibercriminosos são pagos pelo administrador do Telekopye deduzindo as taxas de administração. Os grupos de cibercriminosos que utilizam o Telekopye estão organizados numa hierarquia de cinco classes, do menor para o maior privilégio. Os atacantes das classes superiores pagam taxas de comissão mais baixas.
“A maneira mais fácil de saber se está a ser alvo de um agente malicioso do Telekopye, ou de qualquer outro atacante, é procurar anomalias, erros e discrepâncias na linguagem utilizada. Insista na troca presencial de dinheiro e bens sempre que possível quando negociar bens em segunda mão em mercados online e evite enviar dinheiro a não ser que tenha a certeza do seu destino,” aconselha Jizba.
Para informação técnica sobre esta investigação, consulte o artigo dedicado no WeLiveSecurity.
