A Talos, unidade de pesquisa de segurança da Cisco, divulgou detalhes técnicos sobre a atividade de uma gangue de hackers que teria roubado um total de US$ 50 milhões (aproximadamente R$ 160 milhões) em moeda virtual Bitcoin desde 2015.

Batizado de "Coinhoarder" ("acumulador de moedas"), o grupo chegava até as vítimas por meio de anúncios maliciosos veiculados no Google Adwords, a plataforma de publicidade do Google.

De acordo com a Talos, o idioma do site se adaptava de acordo com o visitante (Foto: Reprodução)

Para potencializar os ganhos, o Coinhoarder usava os recursos de direcionamento da plataforma de anúncios do Google, mirando principalmente em internautas de perfil e localidade predeterminados. De acordo com o Talos, os principais alvos eram internautas africanos e em outros países em que o acesso a serviços bancários é difícil ou onde as moedas oficiais são instáveis, já que essas pessoas podem estar mais interessadas no Bitcoin.

O Google foi procurado pela coluna Segurança Digital nesta segunda-feira (19), mas não se pronunciou até a publicação da reportagem.

As páginas divulgadas nos anúncios eram clones do site Blockchain, onde usuários podem criar e gerenciar uma carteira de Bitcoin. Em um caso apresentado pelo Talos, o grupo criou uma página clonada do site legítimo Blockchain.info no endereço "blockcharin.info". Outros nomes usados foram "blokchein.info" e "block-clain.info".

Os hackers ainda tiraram proveito de um recurso que permite usar caracteres especiais nos endereços para usar um nome ainda mais parecido: "blockchaín.info" ("i" com acento agudo).

Além do visual e do nome parecido no site, as páginas falsas também usavam certificação de segurança. Ou seja, elas eram exibidas com "HTTPS" e com o "cadeado" pelo navegador. Como esses recursos de segurança só indicam que uma página é legítima quando o endereço é exatamente idêntico ao original, nada impede que um site de nome levemente diferente exiba o "cadeado", mesmo que a diferença seja apenas o acento agudo em uma letra.

Com essa impressão de segurança, as vítimas digitavam suas senhas na página clonada, entregando seus fundos aos criminosos.

De acordo com o Talos, as páginas maliciosas apareciam em primeiro lugar na página de resultados de busca -- como é típico de anúncios -- para pesquisas como "carteira de bitcoin" e "Blockchain". Uma das páginas monitoradas pelo Talos chegou a receber pelo menos 200 mil visitas em uma só hora.

Desde que esse ataque começou, outras gangues também adotaram o mesmo método de fraude, criando páginas clonadas e envenenando resultados de busca para outras moedas e serviços.

Abrigo na Ucrânia

A equipe de segurança da Cisco colaborou com a polícia da Ucrânia para derrubar o servidor que abrigava as páginas clonadas. Os hackers contrataram um serviço de "bulletproof hosting" -- tipo de hospedagem que ignora denúncias de abuso de rede e mantém páginas criminosas no ar.

As informações obtidas pela polícia ucraniana levaram os especialistas da Cisco até um dos endereços de Bitcoin usados pela gangue, permitindo estimar o lucro da operação criminosa. Só entre setembro e dezembro de 2017, os criminosos obtiveram US$ 10 milhões (aproximadamente R$ 30 milhões).

Embora o servidor usado pelos bandidos tenha sido retirado do ar, não foram feitas prisões.