Pesquisadores de cibersegurança revelaram o que dizem ser uma "operação global de phishing de criptomoedas em escala industrial" projetada para roubar ativos digitais de carteiras de criptomoedas há vários anos.
A campanha foi batizada de FreeDrain pelas empresas de inteligência de ameaças SentinelOne e Validin.
"O FreeDrain usa manipulação de SEO, serviços web gratuitos (como gitbook.io, webflow.io e github.io) e técnicas de redirecionamento em camadas para atacar carteiras de criptomoedas", disseram os pesquisadores de segurança Kenneth Kinion, Sreekar Madabushi e Tom Hegel em um relatório técnico compartilhado.
"Vítimas buscam por consultas relacionadas a carteiras, clicam em resultados maliciosos de alta classificação, chegam a páginas de isca e são redirecionadas para páginas de phishing que roubam suas seed phrases."
A escala da campanha é refletida no fato de que mais de 38.000 subdomínios distintos do FreeDrain hospedando páginas de isca foram identificados.
Essas páginas são hospedadas em infraestrutura de nuvem como Amazon S3 e Azure Web Apps e imitam interfaces legítimas de carteiras de criptomoedas.
A atividade foi atribuída com alta confiança a indivíduos localizados no fuso horário Indian Standard Time (IST), trabalhando em horários comerciais de semana, citando padrões de commits no GitHub associados às páginas de isca.
Os ataques têm sido encontrados alvejando usuários que buscam por consultas relacionadas a carteiras, como "saldo da carteira Trezor", em mecanismos de busca como Google, Bing e DuckDuckGo, redirecionando-os para páginas de destino falsas hospedadas em gitbook.io, webflow.io e github.io.
Usuários desavisados que chegam a essas páginas recebem um screenshot estático da interface legítima da carteira, clicando no qual, um dos três comportamentos abaixo acontece:
Redireciona o usuário para sites legítimos
Redireciona o usuário para outros sites intermediários
Direciona o usuário para uma página de phishing semelhante que os induz a inserir sua seed phrase, efetivamente drenando suas carteiras
"Todo o fluxo é projetado para ser sem fricção, mesclando manipulação de SEO, elementos visuais familiares e confiança na plataforma para enganar as vítimas com um falso sentido de legitimidade", disseram os pesquisadores.
E uma vez que a seed phrase é submetida, a infraestrutura automatizada do atacante drenará os fundos em minutos.
Acredita-se que o conteúdo textual usado nessas páginas de isca seja gerado usando modelos de linguagem grande como o OpenAI GPT-4, indicativo de como os atores de ameaças estão abusando de ferramentas de inteligência artificial generativa (GenAI) para produzir conteúdo em escala.
O FreeDrain também foi observado recorrendo a inundar sites mal mantidos com milhares de comentários spam para aumentar a visibilidade de suas páginas de isca via indexação de mecanismo de busca, uma técnica chamada spamdexing frequentemente usada para manipular SEO.
Vale ressaltar que alguns aspectos da campanha foram documentados pela Netskope Threat Labs desde agosto de 2022 e tão recentemente quanto outubro de 2024, quando os atores de ameaças foram encontrados utilizando Webflow para criar sites de phishing se passando por Coinbase, MetaMask, Phantom, Trezor e Bitbuy.
"A dependência do FreeDrain em plataformas de nível gratuito não é única, e sem melhores salvaguardas, esses serviços continuarão a ser armas em escala", observaram os pesquisadores.
"A rede FreeDrain representa um modelo moderno para operações de phishing escaláveis, um que prospera em plataformas de nível gratuito, evita métodos tradicionais de detecção de abuso e se adapta rapidamente a desativações de infraestrutura.
Abusando de dezenas de serviços legítimos para hospedar conteúdo, distribuir páginas de isca e encaminhar vítimas, o FreeDrain construiu um ecossistema resiliente que é difícil de perturbar e fácil de reconstruir."
A divulgação ocorre enquanto a Check Point Research disse que descobriu uma sofisticada campanha de phishing que abusa do Discord e visa usuários de criptomoedas para roubar seus fundos usando uma ferramenta chamada Inferno Drainer, um Drainer-as-a-Service (DaaS).
Os ataques atraem vítimas para ingressar em um servidor Discord malicioso, sequestrando links de convite de vaidade expirados, enquanto também tiram vantagem do fluxo de autenticação OAuth2 do Discord para evadir a detecção automatizada de seus sites maliciosos.
Desagregação do total de domínios em URLs suspeitas e confirmadas por quantidade.
Entre setembro de 2024 e março de 2025, estima-se que mais de 30.000 carteiras únicas tenham sido vitimizadas pelo Inferno Drainer, levando a pelo menos US$ 9 milhões em perdas.
O Inferno Drainer afirmou ter encerrado suas operações em novembro de 2023.
Mas as últimas descobertas revelam que o drainer de cripto permanece ativo, empregando contratos inteligentes de uso único e configurações criptografadas na cadeia para tornar a detecção mais desafiadora.
"Atacantes redirecionam usuários de um site legítimo Web3 para um bot falso Collab.Land e então para um site de phishing, induzindo-os a assinar transações maliciosas", disse a empresa.
O script drainer implantado nesse site estava diretamente vinculado ao Inferno Drainer.
Inferno Drainer emprega táticas avançadas de anti-detecção — incluindo contratos inteligentes de uso único e de curta duração, configurações criptografadas na cadeia e comunicação baseada em proxy — burlando com sucesso mecanismos de segurança de carteiras e blacklists anti-phishing.
Os achados também seguem a descoberta de uma campanha de malvertising que aproveita anúncios no Facebook que se passam por exchanges e plataformas de negociação de criptomoedas confiáveis, como Binance, Bybit e TradingView, para levar os usuários a sites duvidosos instruindo-os a baixar um cliente de desktop.
"Parâmetros de consulta relacionados a anúncios no Facebook são usados para detectar vítimas legítimas, enquanto ambientes suspeitos ou de análise automatizada recebem conteúdo benigno", disse a Bitdefender em um relatório compartilhado com a publicação.
Se o site detecta condições suspeitas (por exemplo, parâmetros de rastreamento de anúncios ausentes ou um ambiente típico de análise de segurança automatizada), ele exibe conteúdo inofensivo e não relacionado.
O instalador, uma vez lançado, exibe a página de login da entidade personificada por meio de msedge_proxy.exe para manter a ilusão, enquanto payloads adicionais são executados silenciosamente em segundo plano para colher informações do sistema ou executar um comando de sleep por "centenas de horas seguidas" se os dados exfiltrados indicam um ambiente de sandboxing.
A empresa de cibersegurança romena disse que centenas de contas no Facebook anunciaram essas páginas que entregam malware, visando principalmente homens acima de 18 anos na Bulgária e na Eslováquia.
"Esta campanha mostra uma abordagem híbrida, mesclando engano frontal e um serviço de malware baseado em localhost", acrescentou.
Ajustando-se dinamicamente ao ambiente da vítima e atualizando continuamente os payloads, os agentes de ameaças mantêm uma operação resiliente, altamente evasiva.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...