來自俄羅斯網路安全公司Doctor Web的訊息稱，一個以對數字加密貨幣感興趣的網民為目標的網路詐騙團伙經營著一個龐大而多樣化的業務，其中涉及實施網路釣魚和構建欺詐網站。

這個詐騙團伙以“可以讓數字加密貨幣交易簡單化”來吸引潛在受害者，誘使他們安裝資訊竊取類惡意軟體和後門來提供對敏感資料的訪問。

欺詐網站從外觀上看十分專業

來自Doctor Web公司的安全研究人員將這個網路詐騙團伙命名為“Investimer”，也稱“Hyipblock”或“Mmpower”，並注意到這群人的主要興趣集中在狗狗幣（Dogecoin，誕生於2013年12月8日，基於Scrypt演算法，是國際上使用者數僅次於比特幣的第二大數字加密貨幣）身上。

Investimer的詐騙手段包括構建“山寨版”的合法數字加密貨幣交易服務網站、運營虛假的線上彩票、出租並不存在的數字加密貨幣採礦池，以及承諾為使用者提供能夠簡化數字加密貨幣交易的服務。

值得注意的是，該團伙構建的網站具有專業化的外觀。比如，其中一個網站的友情連結就指向了McAfee Secure（“邁克菲”，全球最大的專業安全技術公司）。

另外，一個出租採礦池的網站還包含了一個內容完整的常見問題（FAQ）頁面，並展示了一份服務開發者名單，而這些人的確是數字加密貨幣領域的真正參與者。通過這種方式，如果潛在受害者想要通過檢視服務開發人員來驗證服務的合法性，那麼他們只會得出“服務合法”的結論。

這些努力背後的主要目的是入侵計算機，並竊取計算機上數字錢包中可能存在的任何加密貨幣和資金。安全研究人員估計，以這種方式被騙的受害者可能已經超過了1萬人。

根據Doctor Web公司的調查，由同一夥人部署的“付費瀏覽”騙局獲得了超過1.1萬名註冊使用者，而另一個虛假彩票專案已經成功吸引了6800多名註冊使用者。

使用了多種資訊竊取類病毒

所有騙局都有一個共同之處，那就是要求潛在受害者下載一個惡意程式，以幫助他們完成一些用於賺取數字加密貨幣的必要工作。

Doctor Web公司的安全研究人員表示，欺詐者使用了多種資訊竊取類病毒，如Eredel、 AZOrult、Kpot、Kratos、N0F1L3、ACRUX、Predator the Thief、Arkei 和Pony等。值得注意的是，這些病毒都可以在暗網地下論壇找到，只是價格略有不同。

對於遠端訪問和監視，Investimer使用的是基於Team Viewer的Spy-Agent後門，以及使用VNC協議的DarkVNC和HVNC後門。

研究人員還發現，這夥人最喜歡的惡意軟體dropper是Smoke Loader，他們使用了多個俄羅斯托管服務提供商（jino.ru、marosnet.ru和hostlife.net）來執行Cloudflare內容交付網路背後的命令和控制（C&C）伺服器。

普通網路釣魚同樣被使用

雖然上述這些騙局都表現得非常精細，但這個網路詐騙團隊同樣也採用了簡單的網路釣魚方案來欺騙使用者。

“他們建立了一個網站，稱會為以太坊支付系統的新使用者提供獎勵，但實際上是收集使用者在註冊時輸入的資訊，並將其傳送給攻擊者。”Doctor Web公司在其報告中寫道。

從該非法業務的多樣性來看，Investimer絕不是網路詐騙領域的新手。根據Doctor Web公司的說法，這個詐騙團伙也參與了其他線上詐騙活動，包括基於網際網路金融下金字塔模式的網路遊戲。

Doctor Web公司表示，雖然Investimer的詐騙業務規模看上去十分龐大，但最終獲取到的非法收益似乎並不理想。安全研究人員估計，目前受害者的累計經濟損失大約為2.3萬美元，此外還有超過18.2萬枚狗狗幣，目前的價值約為900美元。