Talos relatou que o COINHOARDER começou a fazer com que o site se parecesse mais legítimo com o passar do tempo, utilizando certificados SSL em conjunto com seus“typosquatting,” “brand spoofing,” e “homograph attacks.”

Leia mais: Litecoin atinge valor mais alto em fevereiro e registra 16% de aumento

A equipe descobriu que o phishing tinha como alvo áreas geográficas onde as moedas locais eram instáveis e o inglês não era a língua mãe da região, como Nigéria e Gana, onde as vítimas provavelmente não perceberiam pequenas diferenças nos nomes de domínio e SSL.

A colaboração do Cisco com a Cyber Polícia da Ucrânia os ajudou a identificar os endereços das wallets dos responsáveis pelos ataques. A Talos publicou que “cerca de $10 milhões” foram roubados enquanto as atividades da wallet eram rastreadas, entre os meses de setembro e dezembro do ano passado.

Após a descoberta deste grande esquema de phishing, Cisco começou a marcar os domínios tidos como suspeitos, utilizando requerimentos DNS para encontrar e bloquear outros domínios abertos pela mesma pessoa que registrou o primeiro site identificado como suspeito.

Talos finaliza seu relatório com a lista de endereços de IP associados ao esquema de phishing, bem como indicando maneiras que os clientes da Cisco podem utilizar para se proteger de ameaças semelhantes.

Leia mais: Porque você não deve julgar uma moeda pela sua capitalização de mercado

Golpes de phishing envolvendo criptomoedas no Twitter começaram a se tornar frequentes recentemente, onde usuários criam contas falsas parecidas com figuras famosas da esfera cripto, como Charlie Lee ou Vitalik Buterin, para então promover doações falsas de criptomoedas.