O grupo criminoso COINHOARDER fez US$50 milhões com uma campanha de phishing em cima do Bitcoin

Pesquisadores da Talos monitoraram uma campanha de phishing de Bitcoin conduzida por um grupo criminoso entitulado Coinhoarder e conseguiu fazer US$50 milhões explorando o Google Adwords.

A idéia foi a de sempre. Um anúncio usaram o Google Adwords para postar anúncios que enganavam os usuários, e, como há diversas funcionalidades nesta ferramenta do Google, os mesmos conseguiram usar filtros de segumentação geográfica para os anúncios. Os pesquisadores que descobriram o ataque notaram que eles estava em sua maioria direcionados para a África.

As autoridades ucranianas localizaram e desligaram os servidores que hospedavam alguns sites de Phishing utilizados pelos criminosos.

Os sites de Phishing foram hospedados nos servidores de um provedor de hospedagem a prova de balas localizado na Ucrânia, o Highload Systems.

A operação foi temporariamente interrompida mas a polícia não conseguiu ainda prender nenhum indivíduo.

“A Cisco vem rastreando uma campanha de roubo de bitcoins a mais de seis meses. A campanha foi descoberta internamente e pesquisada com a ajuda de uma parceria de partilhamento de inteligência com a Ciberpolícia da Ucrânia.
A campanha foi muito simples e após sua configuração inicial os invasores apenas precisavam continuar a comprar anúncios no Google Adwords para garantir fluxo constante de vítimas”, de acordo com a análise da Talos. “Esta campanha teve foco em algumas regiões específicas e permitiu que os atacantes acumulassem milhões em receitas através do roubo de criptomoedas das vítimas.”

O Coinhoarder usou o Google Adwords para fins de blackhat SEO e em 24 de fevereiros de 2017 os pesquisadores da Cisco observaram uma campanha maciça hospedada na Ucrânia visando a famosa carteira de Bitcoin Blockchain.info com mais de 200 mil consultas.

Eles usaram o Google Adwords para envenenar os dados das pesquisas e roubar as carteiras dos usuários.

Infelizmente este esquema de ataque está se tornando bastante comum no ecossistema criminoso e os meliantes implementam funcionalidades para direcionar muitas carterais de criptomoedas para estruturas que eles tem controle.

Neste caso específico eles usaram a técnica de typosquatting que são domínios que imitam os domínios originais, neste caso da Blockchain.info e ainda, possuindo sites com assinatura SSL para dar a entender que os mesmos são legítimos.

Com base no número de consultas os pesquisadores confirmaram que esta é uma das maiores campanhas para roubar dados dos usuários da Blockchain.info até o momento.

“O grupo COINHOARDER fez um trabalho pesado de typosquatting e falsificação de marca em conjunto com sites de phishing assinados com SSL para parecer convincentes.
Támbém foi observado que haviam elementos na ameaça usando domínios internacionalizados”, continua a análise.
“Esses domínios são usados nos chamados ataques homográficos onde uma letra ou símbolo internacional é muito parecido com o que é usado na língua inglesa. “

Abaixo é possível ver alguns exemplos de domínios que foram usados nestas campanhas.

A versão Punycode (internacionalizada) está à esquerda, a versão traduzida (homográfica) à direita:


xn-blockchan-d5a [.] com → blockchaìn [.] com

xn-blokchan-i2a [.] info → blokchaín [.] info

 

Os pesquisadores da Talos revelaram que em uma campanha realizada entre setembro e dezembro de 2017 o grupo conseguiu levantar cerca de US$10 milhões.

“Ao trabalhar com a aplicação da lei na Ucrânia conseguimos identificar os endereços das carteiras de Bitcoin dos atacantes e assim pudemos rastrear as atividades por um perído de tempo compreendido entre setembro de 2017 e dezembro de 2017.

Somente nesse período conseguimos quantificar cerca de US$ 10 milhões roubados.

Em uma só campanha eles fizeram por volta de US$2 milhões em um perído de 3,5 semanas”, afirma a Talos.

Se quiser informações mais detalhadas, acesse o relatório da Talos.

 

Via Security Affairs

 

loading...