- Analyse du recrutement, grâce à des annonces dans des forums clandestins, de futurs utilisateurs (attaquants) du kit malware as a service Telekopye
- Vue détaillée de l’ensemble des opérations d’escroquerie, du point de vue des attaquants.
- Présentation des scénarios d’escroquerie et de ce que chaque utilisateur, nommé « Néandertalien », doit faire pour réussir. (La recherche d’ESET qualifie les escrocs utilisant Telekopye de Néandertaliens.)
- Décryptage des capacités de Telekopye, dont la création de sites Web d’hameçonnage, l’envoi de SMS et d’e-mails de phishing, ainsi que la création de fausses captures d’écran.
- Données télémétriques : cet outil est toujours en usage et en développement actif. Cette trousse à outils est repose sur un bot Telegram.
Les chercheurs d’ESET ont précédemment découvert et analysé Telekopye, une boîte à outils qui aide les attaquants les moins férues de technologie à réaliser facilement des escroqueries en ligne. La première partie de la recherche ayant été publiée en août, dans cette deuxième partie, ESET Research se concentre sur le processus d’intégration interne des escrocs, une vue détaillée de l’ensemble de l’opération et l’analyse des scénarios d’escroquerie.
Les fonctions de Telekopye sont multiples, la création de sites Web de phishing, l’envoi de SMS et d’e-mails de phishing et la création de fausses captures d’écran. Selon la télémétrie ESET, cet outil est toujours utilisé et en développement actif. Il est basé sur bot Telegram. Les victimes de cette opération d’escroquerie sont appelées « Mammouths » par les escrocs. Par souci de clarté, et en suivant la même logique, ESET fait référence dans ses conclusions aux escrocs utilisant Telekopye comme des « Néandertaliens ».
Le groupe Telekopye recrute de nouveaux Néandertaliens par le biais d’annonces sur de nombreux canaux différents, y compris des forums clandestins. Ces publicités indiquent clairement l’objectif : escroquer les utilisateurs de places de marché en ligne. Les aspirants Néandertaliens sont tenus de remplir une demande, en répondant à des questions de base telles que l’expérience qu’ils ont dans ce domaine. S’ils sont approuvés par les membres du groupe, ayant un rang suffisamment élevé, les nouveaux Néandertaliens peuvent commencer à utiliser Telekopye à son plein potentiel.
Il existe trois principaux scénarios d’escroquerie : le vendeur, l’acheteur et le remboursement. Dans l’escroquerie du vendeur, les attaquants se font passer pour des vendeurs et tentent d’attirer des victimes pour qu’elles achètent un article inexistant. Lorsque la victime montre de l’intérêt pour l’article, le « vendeur » la persuade de payer en ligne plutôt qu’en personne et fournit un lien vers un site Web d’hameçonnage se faisant passer pour un site de paiement légitime. Contrairement à la page Web légitime, cette page demande une connexion à la banque en ligne, les détails de la carte de crédit (y compris parfois le solde) ou d’autres informations sensibles. Le site d’hameçonnage vole ces données automatiquement.
Dans l’escroquerie de l’acheteur, les attaquants se font passer pour des acheteurs. Ils manifestent de l’intérêt pour un article et affirment qu’ils ont déjà payé via la plateforme fournie. Ensuite, ils envoient à la victime un e-mail ou un SMS (créé via Telekopye) avec un lien vers un site Web de phishing soigneusement conçu, affirmant que la victime doit cliquer sur ce lien pour recevoir son argent de la plateforme. Le reste du scénario est très similaire à l’escroquerie du « vendeur ». Dans le scénario de remboursement, les attaquants créent une situation où la victime s’attend à un remboursement et lui envoient ensuite un e-mail de phishing avec un lien vers le site Web de phishing, servant une fois de plus le même objectif.
« Dans presque tous les groupes de Néandertaliens, nous avons trouvé des manuels et des études de marché, à partir desquelles les Néandertaliens élaborent leurs stratégies et leurs conclusions », explique Radek Jizba, chercheur chez ESET, qui a étudié Telekopye. « Par exemple, lors du scénario d’escroquerie de l’acheteur, les Néandertaliens choisissent leurs cibles en fonction du type d’articles qu’ils vendent. Par exemple, certains groupes évitent complètement l’électronique. Le prix de l’article est également important. Les manuels recommandent aux Néandertaliens, dans le cas d’une escroquerie à l’acheteur, de choisir des articles dont le prix se situe entre 9,50 € et 290 € », ajoute-t-il. De plus, les attaquants utilisant Telekopye utilisent des outils Web pour parcourir rapidement de nombreuses placess de marché et choisir une « victime parfaite ».
Les attaquants de Telekopye pensent que leur groupe est rempli de « rats » (par exemple, les forces de l’ordre ou des chercheurs). Ainsi, ils s’en tiennent religieusement aux règles : pas de recherche d’informations qui pourraient identifier d’autres membres du groupe, enfreindre ces règles peut entraîner un bannissement. La règle d’or est la suivante : « Travaillez plus, parlez moins. »
Même si les principales cibles des escrocs sont les marchés en ligne populaires en Russie, tels que OLX et YULA, ESET a également observé des cibles qui ne sont pas Russe, comme BlaBlaCar et eBay et même d’autres qui n’ont rien en commun avec la Russie, comme Jófogás et Sbazar.
Pour plus d’informations sur le fonctionnement des attaquants de Telekopye, consultez l’article de blog »Telekopye : Chambre des secrets de Néandertal. » Assurez-vous de suivre ESET Research sur Twitter (maintenant connu sous le nom de X) pour les dernières nouvelles d’ESET Research.