Telekopye:使用 Telegram 机器人进行网络欺诈
2023-9-4 10:29:0 Author: paper.seebug.org(查看原文) 阅读量:11 收藏

原文链接:Telekopye: Hunting Mammoths using Telegram bot
译者:知道创宇404实验室翻译组

现如今,越来越多的人选择在线购买商品。不仅因为它方便,商品会直接送到你家门口,而且有的购物网站价格还相对便宜。但可悲的是,骗子们滥用了这个机会,为了自身利益瞄准用户进行欺诈。而网络欺诈者们主要通过创建虚假的商品列表进行诈骗,一旦用户进行支付,他们则消失得无影无踪。

最近,我们发现了一个工具包的源代码,这个工具包为骗子们提供了很大的帮助。骗子们无需精通技术,只需说服受害者即可。这个工具包的实现主要依靠一个Telegram机器人,当激活时,它以可点击按钮的形式提供几个易于导航的菜单,骗子们可以同时进行操作。本文我们将重点分析这个工具包的特性和功能,以及使用它的群体结构。我们将这个工具包命名为Telekopye。

本文是系列文章中第一部分,在这里我们将更详细地了解Telekopye,并展示一些对骗子们非常有帮助的关键功能。在第二部分中,我们将更多地关注群组操作。

概要

Telekopye取自于Telegram和kopye,kopye是俄语中“长矛”的意思,选用的原因是因为这种欺诈活动使用了网络钓鱼手法,欺诈中,受害者被骗子戏称为 Mammoths(猛犸象)(见图1),为了更好的理解其中的含义,我们沿用相同的逻辑,将称使用Telekopye进行欺诈的骗子为Neanderthals。

Telekopye meme

图1:Neanderthals发布对话中的一个memes

Telekopye被多次上传到 VirusTotal,其用户主要来自俄罗斯、乌克兰和乌兹别克斯坦,这些地区通常是Neanderthals活动最活跃的地方,可以根据代码中的评论和目标市场进行判断。尽管Neanderthals的主要目标是俄罗斯(如OLX和YULA),但在实际操作过程中,俄罗斯以外的市场(如BlaBlaCar或eBay)也没能幸免。为了说明这些市场有多么庞大,根据《财富》杂志的数据,2014年OLX平台每月有110亿次页面浏览量和850万次交易量。

我们收集了几个迭代版本的Telekopye,所有版本都可用于创建钓鱼网页,发送钓鱼邮件和短信。此外,一些版本的Telekopye可以将受害者数据(通信地址或电子邮件地址)存储在运行该机器人的磁盘上。Telekopye非常通用,但不具有聊天机器人的AI功能。因此,它实际上并不执行漏洞,只是简化了用于此类骗局的内容生成过程。2023年7月,我们检测到符合Telekopye操作者模式的新域名,因此他们仍然活跃。我们所能收集到的最新版本的Telekopye是2022年4月11日的。因此可以评估,Telekopye至少从2015年开始使用,根据Neanderthals之间的对话片段,可以推测黑客团体们仍在使用它。

Telekopye骗局情景

由于人类的本性,网络市场上的诈骗事件非常普遍。如图2所示,Neanderthals通常会按照固定步骤实施行动。首先,Neanderthals会找到他们的受害者。然后哄骗受害者,告知他们是合法的。当Neanderthals认为一个受害者对他们有了信任后,便开始使用Telekopye预制模板创建一个钓鱼网页,并将URL发送给受害者。在受害者通过此页面提交相关信息信息后,Neanderthals便开始利用这些信息,榨取受害者钱财,并利用加密货币等形式进行洗钱。根据一些对话片段,我们估计其中一些涉及加密货币混合器,而从受害者身上骗到的钱和通常会以加密货币形式支付给Neanderthals。 Telekopye scam overview

图片2: Neanderthals骗局概览

Telekopye 功能

Telekopye具有多种不同的功能, Neanderthals可以充分利用这些功能。其中包括发送钓鱼邮件、生成钓鱼网页、发送短信、创建QR码和创建钓鱼截图。在接下来的部分,我们将重点介绍对Neanderthals来说最有用的Telekopye的部分。

连接

每个使用Telekopye的Telegram群组都由一个或多个同时独立操作的Neanderthals组成。功能主要通过按钮提供,而这很可能是为了让Neanderthals更容易进行诈骗活动。

图3显示了Telekopye在一个正在运作的Telegram群组中的一个菜单。特别值得注意的是“我的广告”按钮,显示每个Neanderthals所打开的列表(进行中的诈骗广告),以及“我的资料”按钮,允许Neanderthals查看他们在该平台上的个人资料信息,如诈骗的数量,准备下次支付的金额等。

Telekopye interface

图片3:Telegram群组中Telekopye操作界面示例

网络钓鱼页面的生成

Telekopye的核心功能是根据预定的HTML模板按需创建钓鱼页面。Neanderthals需要指定金额、产品名称,基于模板的附加信息(如产品、位置、图片、重量和买家姓名等),Telekopye将这些信息组合起来创建一个钓鱼网页,这些钓鱼网页被伪造成不同的支付/银行登录网站、信用卡/借记卡支付网关,或支付页面。

为了使钓鱼网站的创建更加简便,这些网站模板按照它们所针对的国家进行分类。图4显示了一个简单的创建菜单,其中一些模板按照不同的国家进行了分类,唯一的例外是独立于国家的汽车共享服务BlaBlaCar。

Creation menu

图片4:不同钓鱼页面的创建菜单

图5展示了一个钓鱼网页,但部分内容需要完善。

Uncomplete phishing website template

图5:未完成信息填写的钓鱼网站模板

成品如图6所示:这是一个类似于eBay的网页,和原网站从外观上看相差无几。通过点击“收到%amount2%欧元”按钮,Mammoths会被展示一个虚假的信用卡/借记卡支付网关。 Finished template

图6:伪装eBay的钓鱼网页模板

这些网络钓鱼域名不容易被发现。通常情况下,Neanderthals会注册一个域名,然后为每个目标创建子域名,最终的URL以预期的品牌名称开头。在表1中可以注意到,仅有一个域名 - olx.id7423.ru - 用来瞄准受欢迎的市场OLX。OLX市场的合法域名示例是olx.ua。简而言之,他们通常使用.ru作为其顶级域名,并将二级域名移至三级域名的位置。

表格1:用于网络钓鱼的几个域名示例

交易及支付分析

Neanderthals不会将从Mammoths那里偷来的钱转移到自己的账户上。相反,所有Neanderthals都使用由Telekopye管理员控制的共享Telekopye账户。Telekopye通过记录每个Neanderthals对该共享账户的贡献(可以是简单文本文件或SQL数据库)来跟踪每个Neanderthals的成功程度。

因此,Neanderthals由Telekopye管理员支付报酬。付款被分为三部分:

  1. Telekopye管理人的佣金;

  2. 推荐者的佣金;

  3. 实际支付金额;

Telekopye管理人的佣金占5-40%,具体金额取决于在其中所扮演的角色。

一旦Neanderthals支付成功后,系统则会向Telekopye发出请求。Telekopye会检查Neanderthals的账户余额,在Telekopye管理员进行批准后,资金将会被转入Neanderthals的加密货币钱包。在某些Telekopye实施过程中,第一步请求支付是自动生成的,当一个Neanderthals从成功实施的骗局中窃取的钱达到某个阈值(例如,500 RUB)时,会启动协商过程。手动支付请求的流程如图7所示,Telekopye源代码的相关部分如图8所示。

Payout diagram

图7: 支付流程图

Telekopye payout code

图8: Neanderthals发起资金提取时执行的代码

Telekopye会在一个独立的Telegram群组中保存已处理支出的日志。获得报酬的Neanderthals也会收到相关信息。图9记录了一条日志示例。

Telekopye payout logs

图9:Telegram频道中支付日志的示例

Telekopye管理员并不通过Telekopye本身转账,主要使用一个名为“BTC Exchange bot”的工具(可能是一个独立的Telegram机器人)或者手动进行转移资金。然而,我们观察到越来越多与支付相关的功能集成到Telekopye中,因此这些情况可能后在后续发生变化。

发送钓鱼邮件

Neanderthals可以指示Telekopye创建和发送电子邮件。发件人是一个预定义的共享电子邮件账户,所有Neanderthals均可共用。这些电子邮件账户通常与Neanderthals设置的钓鱼域名相关联。图10展示了钓鱼中的发件人和回复地址的代码。

Telekopye mail code

图10:用虚假的URL和假冒的发件人地址制作的钓鱼邮件代码

图11展示了用于创建钓鱼邮件的示例模板。由于没有提供其他信息,因此在%title%和%amount%的位置上显示的是默认值,而不是用户定义的文本。恶意URL被隐藏在“前往付款”按钮后面。

Telekopye checkout template

图11:模仿账单的邮件模板

短信支持

除了钓鱼邮件外,Telekopye还允许Neanderthals以类似的方式创建并发送短信。图12展示了负责创建和发送此类短信的代码片段。

Telekopye sms code

图12: 使用在线服务smscab.ru创建短信的部分代码

Telekopye的一些实现甚至有不同语言的预定义SMS文本。所有短信模板大致内容部分大致相似,如“您的物品已退款,要获得退款,请填写信息:<恶意链接>”。图13中显示了几个短信模板的示例,图14中可以看到Mammoth收到短信的具体内容。

Telekopye sms template text

图13:Telekopye中用于短信模板的俄语文本

Telekopye SMS example

图14: 用捷克语创建的没有恶意链接的短信示例模板

Telekopye非常依赖于诸如smscab.ru或smshub.org之类的在线服务来发送短信。我们曾经分析过一个旧版本,其中Telekopye使用一个硬编码的电话号码,该号码在所有Neanderthals之间共享。然而,可能是因为屏蔽一个电话号码会导致所有Neanderthals的信息被屏蔽,该功能已被终止。

图像处理

本节中,我们描述了Neanderthals使用Telekopye创建的图像,其截图过程非常简单。Telekopye的某些版本有一个名为Render bot的组件。虽然Render bot可以被归类为独立的机器人,但我们仍将其视为Telekopye的一部分。

当将Render bot添加到Telegram聊天中时,我们会收到图15所示的内容:

Telekopye initial renderbot message

图15:来自Render bot的初始消息

这让我们很好地了解了Telekopye的工作原理。我们可以将Render bot的使用分成两大类。首先,它可以用于篡改图像,使其难以进行交叉引用。其次,它可以创建看起来像合法截图的假图像。在本节中,我们将首先关注创建这些虚假截图的功能,该功能与创建网络钓鱼网站类似。

不同于从HTML模板生成的虚假网页,虚假截图的基础是删除了一些关键部分的JPG图像。这些部分包括假定的支付价格、借记/信用卡号码、标题、姓名等。这个转换过程如图16所示,其中对纯模板和填充模板进行了比较。由于这些都是图像,所以没有像电子邮件和网络钓鱼页面那样的交互按钮。

Fake screenshot

图16:生成的假截图(左侧为模板,右侧为填充示例文本的模板)

在插入文本时,强调其尽可能与原始图像融合,因此Telekopye支持多种不同的字体。与之前一样,所有行为都是硬编码的,没有使用人工智能。我们找到了Sberbank、Avito、Youla、Qiwi 和其他服务的九个模板。

从Neanderthals的角度来看,创建这些截图与创建网络钓鱼页面没有什么区别。 Neanderthals只需要提供一些信息,Telekopye就会根据这些信息创建一个虚假的截图。

在Render bot文件夹中,还可以看到在创建过程中其中一个模板的照片。图17显示了一张包裹发票的照片,其中包含编号字段。Telekopye的开发人员删除了所有带有编号的字段,并尝试将自己的字体风格和字体大小适应其中。当他们对最终产品的外观感到满意时,会将其添加到机器人中,供其他Neanderthals使用作为新的模板。

Telekopye invoice

图17:创建虚假文件

Telekopye这部分的同样重要的功能是图像处理。从代码及其注释中可以得知,它能够修改广告商品的图片,以避免被搜索引擎进行交叉参考。我们假设,如果在市场上发现该图片,反垃圾邮件保护系统会将其标记为恶意邮件。这种变换非常简单,包括对图像进行垂直翻转和微小对比度调整。

实验特征

根据Telekopye源文件中的内容,我们可以评估开发人员正在尝试不同变种的欺诈行为。例如,在代码中,我们看到了二维码生成功能(图18)。这可能意味着它是支付过程的一部分,或者他们正在尝试将其作为一种新的欺诈手段。一个可能的原因是,当通过QR码付款时,Mammoths通常不会多想。因此,我们猜测使用这种手段的成功率可能会增加。

Telekopye QR creation

图18:生成二维码的代码

从图15中可以看出,Render bot似乎可以为Sberbank创建虚假支票。但实际上,它只能创建付款确认凭证(图19)。

Telekopye payout confirmation

图19:付款确认模板

功能齐全的假支票生成只是时间问题。这些片段主要是手写数字,可能会作为自定义字体添加。

Roles

使用 Telekopye 的诈骗者群体按照以下顺序形成组织结构:

  1. Administrators

  2. Moderators

  3. Good workers / Support bots

  4. Workers

  5. Blocked

我们观察到一些变种在这个列表中增加了一些额外的角色,但这五个角色仍然是基础。下面的部分更详细地介绍每个角色。

Telekopye也采用了邀请制。当一个新的Neanderthal想要加入该组织时,他需要填写一个申请表(包括他在这个"行业"的经验、被邀请者信息等)。该申请需要被版主或管理员接受才能让新的Neanderthal加入。

Blocked

具有此角色的用户无法使用Telekopye工具包,Telekopye源代码中的规则暗示这是对违反规定的一种惩罚(图20)。

Telekopye rules

图20:elekopye 聊天群规则

Workers

这是几乎所有新的Neanderthals开始时最常见的角色。在这个角色下,Neanderthals可以使用Telekopye的所有功能,但不能进行群组的管理。在支付过程中,该角色的佣金率最低,如表2所示。

Role Commission toowner Commission to recommender Actual payout
Workers 33% 2% 65%
Good workers/Support bots 23% 2% 75%
表2:支付示例比例

这个角色是Worker角色的直接升级。唯一的区别是,拥有这个角色的Neanderthals不必将如此大比例的支出交给平台所有者。要获得这个角色,Neanderthals必须证明自己的价值——完成一系列骗局或并窃取一系列金额。

有时可能会看到这个角色是为支持机器人保留的,但我们暂不能对此下定义。

Moderators

Moderators可以晋升和降职其他成员,批准新成员加入,但他们无法修改Telekopye的设置。

Administrators

Administrators是该组中的最高角色。他们可以充分利用Telekopye的功能。除了Moderators的能力外,他们还可以修改Telekopye的设置——添加网络钓鱼页面模板,更改/添加机器人使用的电子邮件地址,以及更改支付费率、支付方式等等。

如何避免被骗

判断是否有Neanderthal试图窃取你的钱最简单的方法是观察所使用的语言,它可以是对话、电子邮件中或网页本身。但是这种方法并非百分之百可靠的,而且据观察,其中一些骗局尝试已经消除了语法和词汇错误。

在线上二手市场处理商品时,尽可能坚持当面进行货币和商品交换,因为此类交易不受知名机构或服务的保护。这些欺诈行为之所以可能发生,是因为Neanderthal假装已经在线支付或发送了物品。遗憾的是,在某些情况下,有时无法亲自送货,在这种情况下您需要格外小心。

除非你确信资金的去向,否则请避免汇款。当您需要向某个地方汇款时,请检查网页是否有语法错误或图形不协调的地方。如果你运气好,模板可能会存在一些不准确之处。此外,还要检查网站的证书,并仔细观察URL,因为它可能伪装成真实链接。

提防诸如“我将通过XYZ服务汇款”之类的强硬词句,遇到此情况询问是否可能使用其他支付方式,尤其是他们是否愿意接受你熟悉的支付服务。但这种方法并非百分之百可靠,因为骗子可以有多个模板,但当你使用自己熟悉的支付方式时,你可能更容易识别出一个虚假模板。

在点击短信或电子邮件中的链接时要格外小心,即使它们看起来来自可靠的来源。Neanderthal对电子邮件欺骗并不陌生。一个好的经验法则是检查自己是否购买了这些东西,如果你不确定,可以直接访对应的网站(而不是使用电子邮件/短信中的链接)进行咨询,也可以询问客服。

Conclusion 结论

我们发现并分析了Telekopye,这是一个帮助非技术人员更轻松实施诈骗的工具包,估计Telekopye至少从2015年就已经开始使用。我们重点关注了其中一个版本,分析了其主要功能,揭示了Telekopye内部的工作原理。这些功能包括创建网络钓鱼网站、发送网络钓鱼短信和电子邮件,以及创建虚假截图。我们还使用Telekopye描述了组织层级结构。通过遥测,具我们还发现该工具仍在使用并进行迭代更新中。即将发布的第二篇Telekopye博客文章将揭示骗局团伙的内部运作方式。

IoCs

我们的GitHub存储库中提供了完整的IoCs,点击这里这里可以找到。

Files

SHA-1 Filename Detection Description
26727D5FCEEF79DE2401CA0C9B2974CD99226DCB scam.php PHP/HackTool.Telekopye.A Telekopye scam toolkit
285E0573EF667C6FB7AEB1608BA1AF9E2C86B452 tinkoff.php PHP/HackTool.Telekopye.A Telekopye scam toolkit
8A3CA9EFA2631435016A4F38FF153E52C647146E 600be5ab7f0513833336bec705ca9bcfd1150a2931e61a4752b8de4c0af7b03a.php PHP/HackTool.Telekopye.A Telekopye scam toolkit

Network

IP Domain Hosting provider First seen Details
N/A id23352352.ru Cloudflare 2023-07-04 Domain that is used to test toolkit or scam victim.
N/A id8092.ru Cloudflare 2023-06-26 Domain that is used to test toolkit or scam victim.
N/A id2770.ru Cloudflare 2023-06-28 Domain that is used to test toolkit or scam victim.
N/A id83792.ru Cloudflare 2023-06-17 Domain that is used to test toolkit or scam victim.
N/A id39103.ru Cloudflare 2023-06-19 Domain that is used to test toolkit or scam victim.
N/A 2cdx.site Cloudflare 2021-03-21 Domain that is used to test toolkit or scam victim.
N/A 3inf.site Cloudflare 2021-03-12 Domain that is used to test toolkit or scam victim.
N/A pay-sacure4ds.ru Jino 2021-12-27 Domain that is used to test toolkit or scam victim.
N/A id7423.ru Cloudflare 2021-03-27 Domain that is used to test toolkit or scam victim.
N/A id2918.site Jino 2021-03-08 Domain that is used to test toolkit or scam victim.
N/A formaa.ga Zomro 2021-05-30 Domain that is used to test toolkit or scam victim.
N/A id0391.ru Cloudflare 2023-06-23 Domain that is used to test toolkit or scam victim.
N/A id66410.ru Cloudflare 2023-06-17 Domain that is used to test toolkit or scam victim.
N/A id82567.ru Cloudflare 2023-06-07 Domain that is used to test toolkit or scam victim.

MITRE ATT&CK techniques

该表格使用MITRE ATT&CK框架的第13个版本进行构建。

Tactic ID Name Description
Reconnaissance T1589 Gather Victim Identity Information Telekopye is used to gather debit/credit card details, phone numbers, emails, etc. via phishing web pages.
Resource Development T1583.001 Acquire Infrastructure: Domains Telekopye operators register their own domains.
T1585 Establish Accounts Telekopye operators establish accounts on online marketplaces.
T1585.002 Establish Accounts: Email Accounts Telekopye operators set up email addresses associated with the domains they register.
T1586.002 Compromise Accounts: Email Accounts Telekopye operators use compromised email accounts to increase their stealthiness.
T1587.001 Develop Capabilities: Malware Telekopye is custom malware.
Initial Access T1566.002 Phishing: Spearphishing Link Telekopye sends links to phishing websites in emails or SMS messages.
Collection T1056.003 Input Capture: Web Portal Capture Web pages created by Telekopye capture sensitive information and report it to operators.

Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/3023/


文章来源: https://paper.seebug.org/3023/
如有侵权请联系:admin#unsafe.sh