Хакер #305. Многошаговые SQL-инъекции
Эксперты Cisco Talos и представители украинской киберполиции рассказали о масштабной фишинговой кампании Coinhoarder, направленной на выманивание криптовалюты у пользователей. Злоумышленники использовали Google AdWords и успели «заработать» около 50 000 000 долларов США. В настоящее время операцию злоумышленников удалось временно пресечь, так как правоохранители отключили серверы, на которых хостились фишинговые ресурсы.
Специалисты Cisco Talos сообщают, что группировка, стоящая за кампанией Coinhoarder, активна уже несколько лет, но массовая фишинговая операция была обнаружена в феврале 2017 года. Именно тогда злоумышленники приобрели домены, максимально похожие на домен Blockchain.info, то есть прибегли к классическому тайпсквоттингу (typosquatting).
После этого операторы Coinhoarder разместили на этих доменах фишинговые сайты, максимально правдоподобно имитирующие настоящий Blockchain.info. Как не трудно понять, фальшивки собирали учетные данные невнимательных пользователей, а затем злоумышленники похищали криптовалюту с кошельков пострадавших.
Аналитики Cisco отмечают, что основной отличительной чертой и «новшеством» данной кампании стали методы, при помощи которых мошенники направляли трафик на свои поддельные сайты. Вместо привычных для данной сферы спама и вредоносной рекламы группировка использовала легитимную рекламу на платформе Google AdWords. Преступники размещали фишинговые сайты в топе поисковой выдачи по многим запросам, связанным с Bitcoin.
По данным исследователей, эта тактика полностью себя оправдала. Так, во время показа рекламы только один из вредоносных доменов привлекал до 200 000 запросов в час, а суммарно от фишинговой кампании пострадали десятки миллионов человек.
Сообщается, что суммарно злоумышленники «заработали» около 50 млн долларов за три года, причем только в период с сентября по декабрь 2017 года группа похитила биткоины на сумму около 10 млн долларов.
«Согласно информации специалистов по безопасности ресурса blockchain.info, эта фишинговая кампания является одной из самых масштабных за всю историю. Мы считаем, что данная группа начала свою деятельность еще в конце 2014 года, и за три года общий доход от преступной деятельности может превышать сотни миллионов долларов США», — пишут представители украинской киберполиции.
Совместными усилиями ИБ-специалистам и правоохранительным органам удалось прекратить деятельность ряда фишинговых доменов, которые размещались на «пуленепробиваемом» хостинге Highload Systems. Это, а также введение дополнительных правил модерации рекламных объявлений в Google Adwords, помогло значительно сократить масштабы деятельности группировки.
Специалисты украинской киберполиции сообщают, что данная группировка также была причастны к созданию нескольких так называемых HYIP-проектов: flexibit[.]bz, verumbtc[.]com, hashminers[.]biz.