وقد كشف الباحثون عن عصابة مجرمي الإنترنت سرقة ملايين الدولارات من للبيتكوين من خلال استغلال جوجل ادوردز Google AdWords
في يوم الأربعاء، كشف خبراء أمن المعلومات منCisco Talos بمساعدة من Cyberpolice Ukraine ، تمكن الفريق من تتبع ورصد المجموعات التي تقوم بهذه الأعمال على مدى الأشهر الستة الماضية.
في إحدى مقالات مدونة talosintelligence ، قال الباحثون إرميا أوكونور وديف ماينور إن الحملة قد تكون بسيطة، ولكنها جنيت مكافآت مالية لا تصدق للجهات الفاعلة في التهديد.
أطلق عليها اسم "Coinhoarder"، تم اكتشاف أنشطة التجسس الجماعة الإجرامية لأول مرة في فبراير 2017. واستهدفت المجموعة منصة محفظة بيتكوين blockchain.info باستخدام الروابط التصيد، والنطاقات الاحتيالية، وخداع العلامة التجارية.
تقول Cisco Talos: "كانت هذه الحملة فريدة من نوعها حيث استفاد هؤولاء الأشخاص من منصة جوجل ادوردز Google AdWords لتسميم نتائج بحث المستخدمين من أجل سرقة محافظ المستخدمين". "منذ أن لاحظت سيسكو هذه التقنية، أصبحت شائعتا على نحو متزايد مع المهاجمين في استهداف العديد من محافظ التشفير والتبادلات المختلفة عن طريق الإعلانات الخبيثة."
أنشأ المحققون روابط تصيد "gateway" التي ظهرت في نتائج البحث عندما بحث الضحايا في جوجل عن الكلمات الرئيسية ذات الصلة ب cryptocurrency ، مثل "بلوكشين" أو "محفظة بيتكوين ، bitcoin wallet".
ومن شأن هذه الروابط، التي يدعمها شراء جوجل ادوردز، أن ترسل الضحايا إلى نطاقات ضارة من شأنها أن تعرض محتوى التصيد الاحتيالي استنادا إلى عنوان الأيبي واللغة المحتملة للزائر. ووفقا للفريق، يركز القراصنة على البلدان التي قد يكون من الصعب فيها الوصول إلى الخدمات المصرفية التقليدية، مثل إستونيا ونيجيريا وغانا وعدد من البلدان الأفريقية الأخرى.
وتعتقد شركة الأمن أن العصابة كانت تقوم بهذه العملية منذ عام 2015 على الأقل، وتمكنت من سرقة عشرات الملايين من الدولارات من كريبتوكيرنسي. بين سبتمبر 2017 إلى ديسمبر 2017 وحده، سرقت المجموعة ما يقرب من 10 مليون دولار امريكي من كريبتوكيرنسي، وفي فترة معينة لمدة 3.5 أسبوع، كان القراصنة قادرة على سرقة 2000000 $
وتشير التقديرات إلى أن الجهات الفاعلة غير المعروفة التهديد قد يكون صافي دخلها أكثر من 50 مليون دوىار أمريكي على مدى السنوات الثلاث الماضية، وربما استفادت عندما ارتفع سعر بيتكوين في العام الماضي.
ويبدو أن هؤولاء لا يستريحون على أمجادهم على الرغم من الكم الهائل من العائدات الاحتيالية التي أقاموها. وقد بدأ المتسللين في استخدام شهادات wildcard SSL certificates لل HTTPS الصادرة عن كلودفلار لتشفير لتظهر شرعية مع خداع العلامة التجارية وأسماء النطاقات الدولية.
[favorite]
إرسال تعليق