O Telekopye é um kit de ferramentas que atua como um bot do Telegram e que ajuda atacantes com menor conhecimento técnico a enganar as suas vítimas.
Investigadores da ESET, empresa europeia líder em soluções de cibersegurança, descobriram um kit de ferramentas que ajuda agentes maliciosos com menor experiência técnica a cometer cibercrimes. Designado “Telekopye”, o kit está implementado como um bot de Telegram e possui capacidades que incluem criar websites de phishing, enviar SMS e emails de phishing, e criar falsas capturas de ecrã.
Segundo a telemetria da ESET, a ferramenta Telekopye está ativa desde 2015 e encontra-se em desenvolvimento ativo. Várias pistas apontam para a Rússia como o país de origem dos autores e utilizadores desta ferramenta.
“Descobrimos o código-fonte de um kit de ferramentas que ajuda tanto os agentes maliciosos que eles não precisam de ser particularmente versados em TI, mas apenas de ser persuasivos para com as vítimas. Este kit de ferramentas é implementado como um bot de Telegram que, quando ativado, fornece vários menus fáceis de navegar na forma de botões clicáveis que podem acomodar muitos cibercriminosos de uma só vez,” explica o investigador da ESET, Radek Jizba. “As vítimas desta operação fraudulenta são designadas ‘Mamutes’ pelos agentes maliciosos. Por uma questão de clareza, e seguindo a mesma lógica, referimo-nos nas nossas conclusões aos cibercriminosos que utilizam o Telekopye como Neandertais.”
O Telekopye foi transferido várias vezes para o VirusTotal, principalmente da Rússia, Ucrânia e Uzbequistão. Estes são os países a partir dos quais os atacantes normalmente operam, com base na língua utilizada nos comentários do código e na localização da maioria dos mercados visados. Apesar de os principais alvos dos cibercriminosos serem mercados online populares na Rússia, como o OLX e o YULA, a ESET também observou alvos que não são nativos da Rússia, como o BlaBlaCar ou o eBay, e até outros que não têm nada em comum com a Rússia, como o JOFOGAS e o Sbazar.
A ESET conseguiu recolher várias versões do Telekopye, o que sugere um desenvolvimento ativo. O kit de ferramentas tem várias funcionalidades diferentes que os agentes maliciosos podem utilizar em toda a sua extensão. Estas incluem o envio de emails de phishing, a criação de páginas web de phishing, o envio de mensagens SMS, a criação de códigos QR e a criação de falsas capturas de ecrã. Além disso, algumas versões do Telekopye podem armazenar dados da vítima (normalmente detalhes de cartões ou endereços de email) no disco onde o bot é executado.
Os cibercriminosos não transferem o dinheiro roubado das vítimas para as suas próprias contas. Em vez disso, todos os agentes maliciosos usam uma conta Telekopye partilhada, controlada pelo administrador do Telekopye. O Telekopye mantém um registo do sucesso de cada atacante, registando as contribuições associadas a essa conta partilhada – quer num simples ficheiro de texto, quer numa base de dados SQL. Consequentemente, os cibercriminosos são pagos pelo administrador do Telekopye deduzindo as taxas de administração. Os grupos de cibercriminosos que utilizam o Telekopye estão organizados numa hierarquia de cinco classes, do menor para o maior privilégio. Os atacantes das classes superiores pagam taxas de comissão mais baixas.
“A maneira mais fácil de saber se está a ser alvo de um agente malicioso do Telekopye, ou de qualquer outro atacante, é procurar anomalias, erros e discrepâncias na linguagem utilizada. Insista na troca presencial de dinheiro e bens sempre que possível quando negociar bens em segunda mão em mercados online e evite enviar dinheiro a não ser que tenha a certeza do seu destino,” aconselha Jizba.
Para informação técnica sobre esta investigação, consulte o artigo dedicado no WeLiveSecurity.