Далее на эти домены были загружены сайты, дизайн которых также копировал вышеупомянутый ресурс. Фактически, использовалась проверенная временем схема – поддельный ресурс собирал информацию, пользуясь невнимательностью пользователей, что позволяло похищать криптовалюту непосредственно с кошельков.
Эксперты отметили, что данная кампания отличалась способом получения трафика. Если ранее для таких схем использовалась вредоносная реклама и обычный спам, то данной схеме преступники использовали легитимную платформу Google AdWords. Для показа рекламных блоков использовались преимущественно запросы, связанные с Bitcoin.
Исследователи выяснили, что использование такой тактики позволило злоумышленникам значительно расширить масштабы атаки – в общей сложности пострадали десятки миллионов пользователей. Один домен мог обслуживать до 200 тысяч запросов в час. За всю кампанию (три года) злоумышленники похитили порядка 50 миллионов долларов (предварительная оценка), причем только за четыре последних месяца 2017 года они получили порядка 10 миллионов долларов. Данную фишинговую кампанию специалисты признали самой масштабной за всю историю.
Совместными усилиями различных кампаний и правоохранительных органов удалось заблокировать фишинговые домены, которые находились на «непробиваемом» хостинге Highload Systems. По информации специалистов украинской киберполиции, данная группировка ранее принимала участие в запуске нескольких HYIP-проектов. Высокую степень защиты азрабатывают сегодня передовые компании.