Cybercriminels : Telekopye, un robot Telegram malveillant à l’origine d’escroqueries par hameçonnage à grande échelle

« Telekopye peut créer des sites web de phishing, des courriels, des messages SMS et bien plus encore », a déclaré Radek Jizba, chercheur en sécurité chez ESET, dans une nouvelle analyse.

Les acteurs de la menace à l’origine de l’opération – dont le nom de code est Neanderthals – sont connus pour gérer l’entreprise criminelle comme une société légitime, engendrant une structure hiérarchique qui englobe différents membres qui assument des rôles variés.

Une fois que les aspirants Néanderthaliens sont recrutés par le biais d’annonces sur des forums clandestins, ils sont invités à rejoindre des canaux Telegram désignés qui sont utilisés pour communiquer avec d’autres Néanderthaliens et garder une trace des journaux de transactions.
Le but ultime de l’opération est de réaliser l’un des trois types d’escroquerie : vendeur, acheteur ou remboursement. Dans le premier cas, les Néandertaliens se font passer pour des vendeurs et tentent d’inciter des Mammouths imprudents à acheter un article inexistant. Dans le cas des escroqueries à l’achat, les Néandertaliens se font passer pour des acheteurs afin de duper les Mammouths (c’est-à-dire les commerçants) en les incitant à entrer leurs coordonnées financières pour se séparer de leurs fonds. D’autres scénarios entrent dans la catégorie des escroqueries au remboursement, dans laquelle les Neaderthals trompent les Mammouths une deuxième fois sous prétexte d’offrir un remboursement, pour ensuite déduire à nouveau la même somme d’argent. La société de cybersécurité Group-IB, basée à Singapour, a précédemment déclaré à The Hacker News que l’activité suivie sous le nom de Telekopye est la même que Classiscam, qui fait référence à un programme d’escroquerie en tant que service qui a rapporté aux acteurs criminels 64,5 millions de dollars de profits illicites depuis son apparition en 2019. « Pour le scénario d’arnaque du vendeur, il est conseillé aux Néandertaliens de préparer des photos supplémentaires de l’article pour être prêts si les Mammouths demandent des détails supplémentaires », a noté Jizba. « Si les Néandertaliens utilisent des photos qu’ils ont téléchargées en ligne, ils sont censés les modifier pour rendre la recherche d’images plus difficile. Le choix d’un Mammouth pour une escroquerie à l’achat est un processus délibéré qui prend en compte le sexe de la victime, son âge, son expérience des marchés en ligne, sa notation, ses critiques, le nombre d’échanges réalisés et le type d’objets qu’elle vend ; il s’agit donc d’une étape préparatoire qui implique une étude de marché approfondie. Les Néandertaliens utilisent également des scanners web pour passer au crible les listes des places de marché en ligne et choisir un mammouth idéal susceptible de tomber dans le piège d’un faux projet. Si le mammouth préfère le paiement et la livraison en personne des marchandises vendues, le Néandertalien prétend qu’il est trop loin ou qu’il quitte la ville pour un voyage d’affaires de quelques jours, tout en manifestant un intérêt accru pour l’article, ce qui augmente les chances de réussite de l’escroquerie. On a également observé des Néandertaliens utiliser des VPN, des proxys et TOR pour rester anonymes, tout en explorant des escroqueries immobilières dans lesquelles ils créent de faux sites Web avec des annonces d’appartements et incitent les mammouths à payer des frais de réservation en cliquant sur le lien qui pointe vers le site Web d’hameçonnage. « Les Néandertaliens écrivent au propriétaire légitime de l’appartement, prétendent être intéressés et demandent divers détails, tels que des photos supplémentaires et le type de voisinage de l’appartement, a déclaré Jizba. Les Néandertaliens prennent toutes ces informations et créent leur propre liste sur un autre site Web, offrant la location de l’appartement. Ils réduisent le prix du marché prévu d’environ 20 %. Check Point a détaillé l’escroquerie qui a réussi à voler près d’un million de dollars en attirant des victimes peu méfiantes qui investissaient de faux jetons et exécutaient des transactions simulées pour créer un vernis de légitimité. Une fois que le jeton a suffisamment séduit les investisseurs, l’escroc a exécuté le mouvement final en retirant la liquidité du pool de jetons, laissant les acheteurs de jetons avec les mains vides et des fonds épuisés », a déclaré la société. Découvrez comment la réponse à la détection d’application et la modélisation automatisée du comportement ont révolutionné l’ingénierie sociale. Décodons l’esprit d’un cyber-attaquant.

Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité. Vous recevrez également notre lettre d’information hebdomadaire contenant les dernières tendances en matière de cybersécurité, les menaces et des conseils sur la façon de rester en sécurité en ligne.