Подразделение «Talos» компании Cisco, которая является мировым лидером в области информационных технологий и сетей, расследует масштабную фишинговую кампанию, в результате которой было похищено криптовалюты на сотни миллионов долларов.
В пресс-службе Киберполиции Украины сообщили, что в конце сентября 2017 года, совместно со специалистами компании «Cisco», былоо начато совместное расследование одной из самых масштабных с тщательно спланированных фишинговых кампаний, направленных на пользователей криптовалюта (операция «Coinhoarder»).
Сотрудники «Cisco» выявили в Сети большое количество доменов, названия которых были схожи с оригинальным ресурсом онлайн-сервиса виртуальных Bitcoin-кошельков: blockchain.info (со списком фишинговых ресурсов можно ознакомиться по ссылке).
Своих жертв злоумышленники находили с помощью рекламных кампаний Google Adwords. После перехода по ссылке пользователь попадал на фейковый сайт, по внешнему виду идентичный bockchain.іnfo.
Cхема работала следующим образом:
- Пользователь открывает фейковый сайт.
- Сервер злоумышленников, на базе Nginx + LuaJIT перенаправляет запрос на оригинальный blockchain.info. С помощью модуля языка программирования Lua в web-сервере Nginx, сразу происходит замена данных заголовков и в некоторых случаях запрет.
- Как только пользователь входит в кошелек, или создает новый, загружая с сайта JavaScript, Nginx на фейковом сервере подменяет его своим. Указанные функции, при инициализации кошелька отсылают по специальному адресу POST-запрос с данными: sharedkey, password, secondPassword, isDoubleEncrypted, pbkdf2_iterations, accounts. В «accounts» содержатся xpub и xpriv ключи для каждого кошелька. Если же данные кошелька зашифрованные двойным паролем, то он расшифровывает и отправляет эту информацию к себе на сервер. Интересный факт, что двухфакторная аутентификация в этом случае не поможет.
- На фейковых сервере работает php-backend, который осуществляет взаимодействие с данным кошельков.
"По нашим приблизительным подсчетам только в период с сентября по декабрь 2017 года, используя вышеупомянутый метод, злоумышленники завладели криптовалютой на сумму 700 BTC (на момент подготовки материала около $6,8 млн, - Ред.). Согласно информации от специалистов по безопасности ресурса blockchain.info, эта фишинговых кампания является одной из самых масштабных за всю историю существования компании. Мы считаем, что эта группа начала свою деятельность еще в конце 2014 года, и за 3 года их общих доход от преступной деятельности может превышать сотни миллионов долларов США", - говорится в сообщении Киберполиции Украины.
В ведомстве отметили, что благодаря введению дополнительных правил модерации рекламных сообщений в Google Adwords, в 2018 году, деятельность этой группы значительно упала.