Украинские фишеры заработали $50 млн с помощью Google AdWords

Украинская киберпреступная группировка заработала порядка $50 млн в биткойнах, используя Google AdWords для заманивания пользователей на фишинговые сайты. Об этом сообщили исследователи кибербезопасности из подразделения Cisco Talos.

По словам специалистов, деятельность группировки была временно приостановлена в феврале текущего года украинской киберполицией. Несмотря на то, что правоохранители отключили серверы, на которых размещались некоторые фишинговые сайты, арестовать злоумышленников не удалось.

Группировка, получившая название Coinhoarder, использовала данную схему по меньшей мере с февраля 2017 года. Злоумышленники покупали домены с «опечаткой», маскирующиеся под сервис Bitcoin.info. Фишеры размещали на доменах фишинговые страницы, собиравшие учетные данные пользователей, которые впоследствии использовались для кражи средств со счетов жертв.

Как пояснили исследователи, примечательным является то, как мошенники привлекают трафик на свои сайты. Вместо проведения вредоносных рекламных кампаний и рассылки фишинговых писем, злоумышленники законно купили рекламу через платформу Google AdWords и разместили ссылки на фишинговые сайты в результатах поиска Google, связанных с Bitcoin.

Данный трюк не только прост в исполнении, но и весьма эффективен, отметили эксперты. По данным Cisco Talos, одно из объявлений смогло привлечь более 200 тыс. пользователей, а общее количество посетителей вредоносных сайтов исчисляется десятками миллионов.

Исследователям не удалось установить точное количество жертв мошенников, однако на основе имеющихся данных можно предположить, что за последние 3 года группировка похитила порядка $50 млн в криптовалюте.

В ходе одной из кампаний, проходившей с сентября по декабрь 2017 года, группировка украла около $10 млн. Другая кампания продолжительностью в 3,5 недели принесла злоумышленникам еще $2 млн.

Как отметили специалисты, для своих объявлений мошенники использовали гео-фильтры, ориентируясь главным образом на владельцев биткойнов в Африке.

«Фишинговые страницы злоумышленников направлены на привлечение жертв из африканских и других развивающихся стран, где банковская деятельность может быть сложнее, а местные валюты гораздо более нестабильны по сравнению с цифровыми активами […] Помимо этого, пользователи, чей родной язык не является английским, являются потенциально более легкими жертвами», — говорится в докладе Cisco Talos.

Фишинговые сайты были размещены на серверах украинского провайдера Highload Systems. По данным Cisco, Coinhoarder является одной из крупнейших фишинговых кампаний, направленных на пользователей Blockchain.info.