Не лише хакери Південної Кореї ласі до чужих біткойнів. Днями стало відомо про злочинне кіберугрупування з України, яке з 2015 року тільки те й робить, що краде криптовалюту. За різними підрахунками відтоді їхній улов склав від п’ятдесяти до кількох сотень мільйонів доларів.

Першою на слід злочинців вийшла дослідницька група Talos компанії Cisco. У своєму блозі дослідники написали, що відслідковують діяльність групи COINHOARDER понад 6 місяців.

Схема, за якою діяли хакери, дуже проста. Через Google Adwords зловмисники розмістили фішингові посилання, які опинилися поміж інших результатів Google.

Наприклад, аби скористатися криптогаманцем, користувач вводив у пошуковик «blockchain» або «bitcoin wallet». У відповідь він отримував лінк на підроблений фішинговий сайт, який зовні нічим не відрізнявся від оригіналу. Тільки домен інший.

Зміст сторінки був рідною мовою жертви — географічний регіон визначався за IP-адресою.

За допомогою Umbrella Client Requester Distribution фахівці Cisco побачили, що більшість користувачів, які ловилися на фішингову вудку, були з Нігерії, Гани та Естонії.

«Схоже, що зловмисники були націлені на країни, що розвиваються, на ті, де банківська діяльність більш складна і місцева валюта нестабільна в порівнянні з криптовалютою, а також на ті, де англійська не є основною мовою», — кажуть дослідники.

Експерти з Cisco вважають, що за три роки COINHOARDER отримала 50 млн $. У Департаменті української кіберполіції, який на певній стадії доєднався до розслідування, впевнені, що йдеться про значно більші суми.

«За 3 роки загальний дохід від злочинної діяльності може перевищувати сотні мільйонів доларів США», зазначено в офіційному повідомлені.

Також у кіберполіції розповіли, що відбувалося після того, як жертва потрапляла на фішинговий сайт. Коли користувач намагався увійти у свій гаманець, або створити новий, спеціальний алгоритм на фейковому сервері просто підміняв той гаманець своїм. Тому всі дані, включно з паролем, злочинці отримували без особливих зусиль.

2018 року справи COINHOARDER погіршилися. Пов’язано це із введенням додаткових правил модерації рекламних повідомлень у Google Adwords.

«Зараз ми продовжуємо відслідковувати діяльність ще декількох груп, які крадуть криптовалюту, результати розслідувань будуть представлені вже незабаром», — запевнили працівники Департаменту кіберполіції.

Закінчив журфак у славному місті Запоріжжя. Сім років працював за фахом у місцевих газетах. 2013 року переїхав до не менш славетного міста Лева. Але це була не єдина зміна у житті – з того часу Інтернет став мені і за редакцію, і за газетні шпальти

Коменти