Google oglasi zloupotrebljeni za Bitcoin phishing kampanje
Ključne reči blockchain i bitcoin wallet donele 50 miliona dolara hakerima.
Ukrajinska policija i Cisco otkrili su Bitcoin phishing kampanju, koja je za nekoliko meseci hakerskoj grupi Coinhoarder donela 50 miliona dolara. Coinhoarder hakerska grupa je "zatrovala" Google oglase obmanjujućim rezultatima pretrage i krala kripto valutu iz digitalnih novčanika korisnika.
Napadači su žrtve mamili preko Google oglasa. Korisnicima koji su u pretrazi kucali termine "blockchain" i "bitcoin wallet" kao prvi rezultati pretrage pojavljivali su se oglasi sa naizgled legitimnim linkovima. Adwords kampanje bile su fokusirane na specifična geografska područja, tako da se na stranicama na koje vode obmanjujući linkovi nalazio sadržaj na jeziku korisnika (na osnovu lokacije korisnika). Kompletnu listu phishing sajtova koje su napadači koristili u phishing kampanji možete pronaći na ovom linku.
Domen block-clain[.]info je korišćen kao inicijalni gateway, a zatim su korisnici preusmeravani na blockchalna[.]info koji predstavlja završnu stranicu koja liči na originalni sajt.
Meta napada su korisnici iz afričkih zemalja u razvoju sa nestabilnom lokalnom valutom, kao i korisnici iz država u kojima engleski nije zvaničan jezik. Coinhoarder grupa je, kako bi prevara bila uverljivija, u ovoj kampanji koristila metod postavljanja lažnih sajtova čije adrese izgledaju slično kao adrese legitimnih sajtova. Takođe, internacionalna imena domena su predstavljali kao domene na engleskom jeziku.
Punycode (internacionalizovana) verzija je sa leve strane, a prevedena (homografska) je sa desne:
- xn--blockchan-d5a[.]com → blockchaìn[.]com
- xn--blokchan-i2a[.]info → blokchaín[.]info
Prema procenama odeljenja ukrajinske kiber policije, u periodu od septembra do decembra 2017. napadači su gore pomenutom metodom došli u posed 700 Bitcoina (oko 5 miliona dolara). Istraživači Cisco Talosa navode da je Coinhoarder grupa aktivna od 2015. i da je u periodu od 3 godine zaradila preko 50 miliona dolara.
Indikatori kompromitovanosti (IOC's)
Otkriveno je da su sledeće IP adrese korišćene u ovim phishing napadima:
- 91[.]220[.]101[.]11
- 91[.]220[.]101[.]109
- 91[.]220[.]101[.]106
- 91[.]220[.]101[.]104
- 91[.]220[.]101[.]111
- 91[.]220[.]101[.]112
- 91[.]220[.]101[.]113
- 91[.]220[.]101[.]115
- 91[.]220[.]101[.]117
- 91[.]220[.]101[.]141
- 91[.]220[.]101[.]48
- 91[.]220[.]101[.]115
Izvor: GBHackers