Департамент киберполиции Национальной полиции Украины разоблачил масштабную фишинговую кампанию, которая была направлена на пользователей криптовалют. В результате мошеннических действий злоумышленникам удалось завладеть криптовалютой на сумму 700 BTC, или около 5 млн долларов.
Об этом сообщает пресс-служба Департамента киберполиции.
В сентябре 2017 года киберполицейские совместно с работниками подразделения Talos компании Cisco ачали совместное расследование одной из масштабных фишинговых кампаний. Операция называлась Coinhoarder.
Исходная информация поступила от коллег из Cisco. При анализе было найдено большое количество доменов, названия которых были очень похожи на оригинальный ресурс онлайн-сервиса виртуальных Bitcoin-кошельков: blockchain.info. С полным списком фишинговых ресурсов можно ознакомиться по ссылке.
Пользователей заманивали с помощью рекламных кампаний Google Adwords. При введении ключевой фразы “blockchain” в поисковой системе Google появлялась ссылка, которая выглядела вполне легальной. Однако после перехода по этой ссылке пользователь попадал на фейковый домен (типа bockchain.info). Домен выглядел аналогично оригинальному, однако имел другое доменное имя и специально разработанный скрипт от злоумышленников.
Схема работала следующим образом:
Пользователь открывает фейковый сайт.
Сервер злоумышленников, на базе Nginx + LuaJIT перенаправляет запрос на оригинальный blockchain.info. С помощью модуля языка программирования Lua в web-сервере Nginx, сразу происходит изменение данных заголовков и в некоторых случаях запрет.
Как только пользователь входит в кошелек, или создает новый, загружая с сайта JavaScript, Nginx на фейковом сервере подменяет его своим.
Указанные функции, при инициализации кошелька отсылают по специальному адресу POST-запрос с данными: sharedkey, password, secondPassword, isDoubleEncrypted, pbkdf2_iterations, accounts.
В “accounts” содержатся xpub и xpriv ключи для каждого кошелька. Если же данные кошелька зашифрованы двойным паролем, то он расшифровывает и отправляет эту информацию к себе на сервер. В полиции подчеркивают, что двухфакторная аутентификация в этом случае не поможет.
На фейковом сервере работает php-backend, который осуществляет взаимодействие с данными кошельков.
По приблизительным подсчетам правоохранителей в период с сентября по декабрь 2017 года злоумышленники завладели криптовалютой на сумму 700 BTC (5 млн долларов).
Согласно информации от специалистов по безопасности ресурса blockchain.info, эта фишинговых кампания является одной из самых масштабных за всю историю существования компании. “Мы считаем, что эта группа запустила свою деятельность еще в конце 2014 года, и за три года общий доход от преступной деятельности может превышать сотни миллионов долларов”, – отметили в Департаменте киберполиции.
“В 2018 году деятельность этой группы значительно упала. Связываем это с введением дополнительных правил модерации рекламных сообщений в Google Adwords. Это также подтверждается анализом активности лиц на закрытых форум-площадках, которые предлагают услуги по ведению мошеннических рекламных кампаний”, – заявили правоохранители.
Специалисты киберполиции также нашли подтверждение того, что эти злоумышленники причастны к созданию нескольких так называемых HYIP-проектов, таких как: flexibit.bz, verumbtc.com, hashminers.biz, которые явно являются так называемым скамом (scam), или мошенничеством.
22 января сообщалось, что при помощи хакерских атак было похищено более 10 % средств, привлеченных организаторами первичного размещения токенов (ICO).
В сентябре 2017 года стало известно, что хакеры разместили в топе Google-поиска вредоносный сайт о биткоинах Darknetmarkets.org.
