来自俄罗斯网络安全公司Doctor Web的消息称，一个以对数字加密货币感兴趣的网民为目标的网络诈骗团伙经营着一个庞大而多样化的业务，其中涉及实施网络钓鱼和构建欺诈网站。 [出自:jiwo.org]

这个诈骗团伙以“可以让数字加密货币交易简单化”来吸引潜在受害者，诱使他们安装信息窃取类恶意软件和后门来提供对敏感数据的访问。

欺诈网站从外观上看十分专业

来自Doctor Web公司的安全研究人员将这个网络诈骗团伙命名为“Investimer”，也称“Hyipblock”或“Mmpower”，并注意到这群人的主要兴趣集中在狗狗币（Dogecoin，诞生于2013年12月8日，基于Scrypt算法，是国际上用户数仅次于比特币的第二大数字加密货币）身上。

Investimer的诈骗手段包括构建“山寨版”的合法数字加密货币交易服务网站、运营虚假的在线彩票、出租并不存在的数字加密货币采矿池，以及承诺为用户提供能够简化数字加密货币交易的服务。

值得注意的是，该团伙构建的网站具有专业化的外观。比如，其中一个网站的友情链接就指向了McAfee Secure（“迈克菲”，全球最大的专业安全技术公司）。

另外，一个出租采矿池的网站还包含了一个内容完整的常见问题（FAQ）页面，并展示了一份服务开发者名单，而这些人的确是数字加密货币领域的真正参与者。通过这种方式，如果潜在受害者想要通过查看服务开发人员来验证服务的合法性，那么他们只会得出“服务合法”的结论。

这些努力背后的主要目的是入侵计算机，并窃取计算机上数字钱包中可能存在的任何加密货币和资金。安全研究人员估计，以这种方式被骗的受害者可能已经超过了1万人。

根据Doctor Web公司的调查，由同一伙人部署的“付费浏览”骗局获得了超过1.1万名注册用户，而另一个虚假彩票项目已经成功吸引了6800多名注册用户。

使用了多种信息窃取类病毒

所有骗局都有一个共同之处，那就是要求潜在受害者下载一个恶意程序，以帮助他们完成一些用于赚取数字加密货币的必要工作。

Doctor Web公司的安全研究人员表示，欺诈者使用了多种信息窃取类病毒，如Eredel、 AZOrult、Kpot、Kratos、N0F1L3、ACRUX、Predator the Thief、Arkei 和Pony等。值得注意的是，这些病毒都可以在暗网地下论坛找到，只是价格略有不同。

对于远程访问和监视，Investimer使用的是基于Team Viewer的Spy-Agent后门，以及使用VNC协议的DarkVNC和HVNC后门。

研究人员还发现，这伙人最喜欢的恶意软件dropper是Smoke Loader，他们使用了多个俄罗斯托管服务提供商（jino.ru、marosnet.ru和hostlife.net）来运行Cloudflare内容交付网络背后的命令和控制（C&C）服务器。

普通网络钓鱼同样被使用

虽然上述这些骗局都表现得非常精细，但这个网络诈骗团队同样也采用了简单的网络钓鱼方案来欺骗用户。

“他们创建了一个网站，称会为以太坊支付系统的新用户提供奖励，但实际上是收集用户在注册时输入的信息，并将其发送给攻击者。”Doctor Web公司在其报告中写道。

从该非法业务的多样性来看，Investimer绝不是网络诈骗领域的新手。根据Doctor Web公司的说法，这个诈骗团伙也参与了其他在线诈骗活动，包括基于互联网金融下金字塔模式的网络游戏。

Doctor Web公司表示，虽然Investimer的诈骗业务规模看上去十分庞大，但最终获取到的非法收益似乎并不理想。安全研究人员估计，目前受害者的累计经济损失大约为2.3万美元，此外还有超过18.2万枚狗狗币，目前的价值约为900美元。