Cyberthreat.id - Sebuah operasi baru bermotif finansial memanfaatkan bot Telegram yang berbahaya untuk membantu pelaku ancaman menipu korbannya.

Dijuluki Telekopye, gabungan dari Telegram dan kopye (berarti "tombak" dalam bahasa Rusia), toolkit ini berfungsi sebagai sarana otomatis untuk membuat halaman web phishing dari template yang telah dibuat sebelumnya dan mengirimkan URL-nya ke calon korban, yang diberi nama sandi Mammoth oleh para penjahat.

“Toolkit ini diimplementasikan sebagai bot Telegram yang ketika diaktifkan, menyediakan beberapa menu yang mudah dinavigasi dalam bentuk tombol yang dapat diklik yang dapat menampung banyak penipu sekaligus,” kata peneliti ESET Radek Jizba dalam laporan yang dibagikan kepada The Hacker News.

Asal muasal pelaku ancaman, yang dijuluki Neanderthal, masih belum jelas, namun bukti menunjukkan Rusia sebagai negara asal pembuat dan pengguna perangkat ini, karena penggunaan templat SMS Rusia dan fakta bahwa sebagian besar pasar daring yang menjadi sasaran adalah Neanderthal. populer di negara tersebut.

Berbagai versi Telekopye telah terdeteksi hingga saat ini, yang paling awal berasal dari tahun 2015, menunjukkan bahwa Telekopye dipelihara dan digunakan secara aktif selama beberapa tahun.

Rantai serangan berlanjut sebagai berikut: Neanderthal menemukan Mammoth mereka dan mencoba membangun hubungan dengan mereka, sebelum mengirimkan tautan palsu yang dibuat menggunakan perangkat phishing Telekopye melalui email, SMS, atau pesan langsung.

Setelah rincian pembayaran dimasukkan pada gateway kartu kredit/debit palsu, informasi tersebut digunakan untuk menyedot dana dari korban, yang kemudian dicuci melalui mata uang kripto.

Telekopye berfitur lengkap, memungkinkan penggunanya mengirim email phishing, membuat halaman web, mengirim pesan SMS, membuat kode QR, dan membuat gambar serta tangkapan layar cek dan kwitansi yang meyakinkan.

Domain phishing yang digunakan untuk menghosting laman didaftarkan sedemikian rupa sehingga URL final diawali dengan nama merek yang diharapkan -- cdek.id7423[.]ru, olx.id7423[.]ru, dan sbazar.id7423[.]ru -- di upaya untuk membuat mereka sulit dikenali.

Aspek penting dari operasi ini adalah sifat pembayaran yang terpusat. Daripada mentransfer uang yang dicuri dari Mammoth ke rekening mereka sendiri, uang tersebut disalurkan ke rekening bersama yang dikelola oleh administrator Telekopye, sehingga memberikan tim inti pengawasan terhadap operasi setiap Neanderthal.

Dengan kata lain, Neanderthal dibayar oleh administrator Telekopye setelah meminta pembayaran melalui toolkit itu sendiri, tetapi tidak sebelum sebagian darinya diambil sebagai biaya komisi kepada pemilik platform dan pemberi rekomendasi.

“Telekopye memeriksa saldo Neanderthal, permintaan akhir disetujui oleh administrator Telekopye dan, akhirnya, dana ditransfer ke dompet cryptocurrency Neanderthal,” kata Jizba.

“Dalam beberapa penerapan Telekopye, langkah pertama, meminta pembayaran, dilakukan secara otomatis dan negosiasi dimulai setiap kali Neanderthal mencapai ambang batas tertentu dari uang curian yang berhasil melakukan penipuan.”

Sebagai tanda lebih lanjut dari profesionalisasi perusahaan kriminal, pengguna dan operator Telekopye diatur dalam hierarki yang jelas yang mencakup peran seperti administrators, moderators, good workers (atau bot pendukung), workers, and blocked -

• Blocked: Pengguna yang dilarang menggunakan Telekopye karena kemungkinan melanggar aturan proyek.
• Workers: Peran umum yang diberikan kepada semua Neanderthal baru.
• Good workers: Peningkatan peran Pekerja dengan pembayaran lebih besar dan biaya komisi lebih rendah.
• Moderators: Pengguna yang dapat mempromosikan dan menurunkan anggota lain serta menyetujui anggota baru, namun tidak dapat mengubah pengaturan toolkit.
• Administrators: Pengguna dengan hak istimewa tertinggi yang dapat menambahkan templat halaman web phishing dan mengubah tingkat pembayaran.

“Cara termudah untuk mengetahui apakah Anda menjadi sasaran Neanderthal yang mencoba mencuri uang Anda adalah dengan melihat bahasa yang digunakan,” kata Jizba.

"Mintalah pertukaran uang dan barang secara langsung bila memungkinkan ketika berurusan dengan barang bekas di pasar online. Hindari mengirim uang kecuali Anda yakin ke mana uang itu akan pergi."[]