Не лише хакери Південної Кореї ласі до чужих біткойнів. Днями стало відомо про злочинне кіберугрупування з України, яке з 2015 року тільки те й робить, що краде криптовалюту. За різними підрахунками відтоді їхній улов склав від п’ятдесяти до кількох сотень мільйонів доларів.
Першою на слід злочинців вийшла дослідницька група Talos компанії Cisco. У своєму блозі дослідники написали, що відслідковують діяльність групи COINHOARDER понад 6 місяців.
Схема, за якою діяли хакери, дуже проста. Через Google Adwords зловмисники розмістили фішингові посилання, які опинилися поміж інших результатів Google.
Наприклад, аби скористатися криптогаманцем, користувач вводив у пошуковик «blockchain» або «bitcoin wallet». У відповідь він отримував лінк на підроблений фішинговий сайт, який зовні нічим не відрізнявся від оригіналу. Тільки домен інший.
Зміст сторінки був рідною мовою жертви — географічний регіон визначався за IP-адресою.
За допомогою Umbrella Client Requester Distribution фахівці Cisco побачили, що більшість користувачів, які ловилися на фішингову вудку, були з Нігерії, Гани та Естонії.
«Схоже, що зловмисники були націлені на країни, що розвиваються, на ті, де банківська діяльність більш складна і місцева валюта нестабільна в порівнянні з криптовалютою, а також на ті, де англійська не є основною мовою», — кажуть дослідники.
Експерти з Cisco вважають, що за три роки COINHOARDER отримала 50 млн $. У Департаменті української кіберполіції, який на певній стадії доєднався до розслідування, впевнені, що йдеться про значно більші суми.
«За 3 роки загальний дохід від злочинної діяльності може перевищувати сотні мільйонів доларів США», зазначено в офіційному повідомлені.
Також у кіберполіції розповіли, що відбувалося після того, як жертва потрапляла на фішинговий сайт. Коли користувач намагався увійти у свій гаманець, або створити новий, спеціальний алгоритм на фейковому сервері просто підміняв той гаманець своїм. Тому всі дані, включно з паролем, злочинці отримували без особливих зусиль.
2018 року справи COINHOARDER погіршилися. Пов’язано це із введенням додаткових правил модерації рекламних повідомлень у Google Adwords.
«Зараз ми продовжуємо відслідковувати діяльність ще декількох груп, які крадуть криптовалюту, результати розслідувань будуть представлені вже незабаром», — запевнили працівники Департаменту кіберполіції.