Descoberto kit malicioso que ajuda cibercriminosos com menor conhecimento técnico

A equipa de investigadores da Eset descobriu um kit de ferramentas que ajuda os cibercriminosos com menor conhecimento técnico a encetar ataques. Chama-se Telekopye e funciona como um bot do Telegram, permitindo criar websites de phishing, enviar SMS e e-mails de phishing e criar falsas capturas de ecrã.

A Eset estima que a Telekopye está em uso desde 2015 e conseguiu recolher várias versões do kit malicioso, sugerindo que possa estar em desenvolvimento ativo. Tudo indica que a Rússia é o país de origem dos autores e utilizadores da ferramenta.

“Este kit de ferramentas é implementado como um bot de Telegram que, quando ativado, fornece vários menus fáceis de navegar na forma de botões clicáveis que podem acomodar muitos cibercriminosos de uma só vez”, explica o investigador da Eset, Radek Jizba. “As vítimas desta operação fraudulenta são designadas ‘Mamutes’ pelos agentes maliciosos. Por uma questão de clareza, e seguindo a mesma lógica, referimo-nos nas nossas conclusões aos cibercriminosos que utilizam o Telekopye como Neandertais”.

O Telekopye foi transferido várias vezes para o VirusTotal, nomeadamente na Rússia, Ucrânia e Uzbequistão – os países em que, com base na língua utilizada nos comentários do código e na localização dos mercados atingidos, os cibercriminosos normalmente operam.

Os principais alvos dos ciberataques são mercados online populares na Rússia, como o OXL e o YULA. No entanto, também existem alvos não nativos do país, como BlaBlaCar e o eBay, e que nada têm a ver com a Rússia, como o JOFOGAS e o Sbazar.

Os agentes maliciosos dispõem de várias funcionalidades proporcionadas pelo kit de ferramentas, incluindo o envio de e-mails de phishing, a criação de páginas web de phishing, o envio de mensagens SMS, a criação de códigos QR e a criação de falsas capturas de ecrã. A Eset detetou ainda que, em algumas versões, é possível armazenar os dados dos alvos no disco onde o bot é encetado.

Todos os atacantes partilham uma única conta Telekopye, controlada pelo administrador da ferramenta, onde ficam registados os ciberataques bem-sucedidos de cada membro e as contribuições associadas a essa conta partilhada. Os pagamentos aos cibercriminosos são feitos pelo administrador do Telekopye, que deduz do valor as taxas de administração. A Eset averiguou ainda que os atacantes estão organizados hierarquicamente em cinco classes, sendo que os indivíduos das classes superiores pagam taxas de comissão menores.

“A maneira mais fácil de saber se está a ser alvo de um agente malicioso do Telekopye, ou de qualquer outro atacante, é procurar anomalias, erros e discrepâncias na linguagem utilizada”, aconselha Jizba. “Insista na troca presencial de dinheiro e bens sempre que possível quando negociar bens em segunda mão em mercados online e evite enviar dinheiro a não ser que tenha a certeza do seu destino”.