Da Google AdWords ai siti di pishing. Così gli hacker rubano i Bitcoin

Un gruppo ucraino cybercriminale ha rubato circa $ 50 milioni utilizzando Google AdWords per attirare gli utenti sui siti di phishing di Bitcoin.

L’operazione è stata temporaneamente interrotta questo mese quando la polizia postale ucraina ha interrotto i server che ospitano alcuni siti di phishing, agendo in base alle informazioni ricevute dalla divisione di sicurezza Talos di Cisco. Non sono stati effettuati arresti ed è molto probabile che il gruppo possa colpire ancora.

Annunci su Google AdWords di Bitcoin per indirizzare il traffico verso i siti di phishing

Il gruppo, che Cisco ha monitorato internamente con il nome in codice di Coinhoarder, è operativo da anni, ma sembra aver utilizzato lo stesso schema da febbraio 2017.

I truffatori acquistano i cosiddetti domini typosquatted che imitano il vero servizio di gestione dei portafogli di Blockchain.info Bitcoin. Gli operatori Coinhoarder quindi impostano le pagine di phishing su questi domini che registrano le credenziali degli utenti, che in seguito usano per rubare i fondi dagli account degli utenti.

Come agiscono gli hacker per rubare Bitcoin

Niente di nuovo fin qui, poiché questo è il modo in cui funziona la maggior parte delle operazioni di phishing. La novità deriva dal modo in cui i criminali guidano il traffico verso questi siti. Secondo Cisco, invece di utilizzare le campagne di malvertising o spam, i truffatori acquistano annunci legittimi tramite la piattaforma Google AdWords e inseriscono collegamenti ai propri siti di phishing in cima ai risultati di ricerca di Google relativi a Bitcoin.

Questo trucco non è solo semplice da eseguire ma molto efficace. Cisco ha riferito che, in base ai dati delle query DNS, negli annunci per un dominio raggiungevano oltre 200.000 utenti. Si ritiene che il gruppo abbia attirato decine di milioni di utenti verso i siti di phishing.

Non è chiaro quanti utenti abbiano tentato di accedere ai siti falsi, ma dopo aver rintracciato vari furti riportati sui social media e coinvolto alcuni dei domini dei gruppi Coinhoarder, Cisco ha dichiarato che il gruppo ha rubato circa $ 50 milioni di bitcoin negli ultimi tre anni.

Ad esempio, in una campagna che si è svolta da settembre 2017 a dicembre 2017, il gruppo ha rubato circa $ 10 milioni, mentre in un’altra campagna durata 3,5 settimane, altri $ 2 milioni.

I truffatori di Bitcoin usavano le pubblicità per attirare gli utenti

I ricercatori sottolineano inoltre che i criminali hanno utilizzato i filtri di targeting geografico per i loro annunci, rivolgendosi principalmente ai proprietari di Bitcoin in Africa.

“Le pagine di phishing voglino colpire potenziali vittime nei paesi africani e in altri paesi in via di sviluppo dove le banche possono essere più difficili e le valute locali molto più instabili rispetto alla risorsa digitale”, hanno detto i ricercatori in un rapporto pubblicato. “Inoltre, gli aggressori hanno preso atto del fatto che il targeting degli utenti in paesi la cui prima lingua non è l’inglese costituisce un obiettivo potenzialmente più facile.”

Cisco afferma di aver rintracciato i siti di phishing ospitati sui server di un provider di hosting situato in Ucraina – Sistemi ad alto carico. È qui che è intervenuto il dipartimento di polizia cibernetica ucraina che ha smontato i server.

Secondo Cisco, il gruppo Coinhoarder è di gran lunga la più grande operazione di phishing che ha come obiettivo Blockchain.info, il più grande servizio di portafoglio di Bitcoin online.

Anche Bleeping Computer ha notato aumenti nelle campagne di phishing indirizzate a Blockchain.info tra dicembre 2016 e dicembre 2017 .

Tra i nuovi trucchi rilevati da Cisco, i criminali hanno iniziato a utilizzare i certificati Let’s Encrypt per far caricare i loro siti di phishing tramite HTTPS.