Peneliti cybersecurity telah mengekspos apa yang mereka katakan adalah “skala industri, operasi phishing cryptocurrency global” yang direkayasa mencuri aset digital dari dompet cryptocurrency selama beberapa tahun.
Kampanye ini telah diberi nama sandi Freedrain oleh ancaman perusahaan intelijen Sentinelone dan Validin.
“Freedrain menggunakan manipulasi SEO, layanan web tingkat bebas (seperti gitbook.io, webflow.io, dan github.io), dan teknik pengalihan berlapis untuk menargetkan dompet cryptocurrency,” kata peneliti keamanan Kenneth Kinion, Sreekar Madabushi, dan Tom Hegel mengatakan dalam laporan teknis yang dibagikan dengan The Hacker News.
“Korban mencari pertanyaan terkait dompet, klik pada hasil jahat peringkat tinggi, mendarat di halaman umpan, dan dialihkan ke halaman phishing yang mencuri frasa benih mereka.”
Skala kampanye tercermin dalam kenyataan bahwa lebih dari 38.000 sub-domain freedrain yang berbeda menampung halaman umpan telah diidentifikasi. Halaman -halaman ini di -host pada infrastruktur cloud seperti aplikasi web Amazon S3 dan Azure, dan meniru antarmuka dompet cryptocurrency yang sah.
Kegiatan ini telah dikaitkan dengan kepercayaan tinggi kepada individu yang berbasis di zona waktu Time Time Standard (IST), jam kerja standar hari kerja standar, mengutip pola -pola GitHub yang terkait dengan halaman umpan.
Serangan telah ditemukan untuk menargetkan pengguna yang mencari pertanyaan terkait dompet seperti “Trezor Wallet Balance” pada mesin pencari seperti Google, Bing, dan Duckduckgo, mengarahkan mereka ke halaman pendaratan palsu yang di-host di gitbook.io, webflow.io, dan github.io.
Pengguna yang tidak curiga yang mendarat di halaman -halaman ini dilayani tangkapan layar statis dari antarmuka dompet yang sah, mengklik yang mana, salah satu dari tiga perilaku di bawah ini terjadi –
- Mengalihkan pengguna ke situs web yang sah
- Mengalihkan pengguna ke situs perantara lainnya
- Mengarahkan pengguna ke halaman phishing mirip yang meminta mereka untuk memasukkan frasa benih mereka, secara efektif menguras dompet mereka
“Seluruh aliran tidak gesekan oleh desain, memadukan manipulasi SEO, elemen visual yang akrab, dan kepercayaan platform untuk menidurkan korban menjadi rasa legitimasi yang salah,” kata para peneliti. “Dan begitu frasa benih diajukan, infrastruktur otomatis penyerang akan menguras dana dalam beberapa menit.”
Dipercayai bahwa konten tekstual yang digunakan dalam halaman umpan ini dihasilkan menggunakan model bahasa besar seperti OpenAI GPT-4O, yang menunjukkan bagaimana para aktor ancaman menyalahgunakan alat-alat kecerdasan buatan generatif (Genai) untuk menghasilkan konten pada skala.
Freedrain juga telah diamati menggunakan banjir situs web yang tidak terawat dengan ribuan komentar spam untuk meningkatkan visibilitas halaman iming-iming mereka melalui pengindeksan mesin pencari, sebuah teknik yang disebut spamdexing yang sering digunakan untuk game SEO.
Perlu ditunjukkan bahwa beberapa aspek kampanye telah didokumentasikan oleh Netskope Ancaman Labs sejak Agustus 2022 dan baru -baru ini pada Oktober 2024, ketika para aktor ancaman ditemukan memanfaatkan Webflow untuk memutar situs phishing yang menyamar sebagai Coinbase, Metamask, Phantom, Trezor, dan Bitbuy.
“Ketergantungan Freedrain pada platform tingkat bebas tidak unik, dan tanpa perlindungan yang lebih baik, layanan ini akan terus dipersenjatai dalam skala,” kata para peneliti.
Jaringan Freedrain mewakili cetak biru modern untuk operasi phishing yang dapat diskalakan, yang tumbuh subur pada platform tingkat bebas, menghindari metode deteksi pelecehan tradisional, dan beradaptasi dengan cepat dengan penghapusan infrastruktur. Dengan menyalahgunakan lusinan yang sulit untuk diselesaikan, dan merutekannya dengan susah payah.
Pengungkapan itu datang ketika penelitian titik pemeriksaan mengatakan bahwa pihaknya menemukan kampanye phishing canggih yang menyalahgunakan perselisihan dan memilih pengguna cryptocurrency untuk mencuri dana mereka menggunakan alat drainer-as-a-service (DAAS) yang disebut Inferno Drainer.
Serangan -serangan itu menarik para korban untuk bergabung dengan server perselisihan berbahaya dengan membajak kesombongan yang kadaluwarsa mengundang tautan, sementara juga memanfaatkan aliran otentikasi OAuth2 perselisihan untuk menghindari deteksi otomatis situs web berbahaya mereka.
 |
| Rincian total domain menjadi URL yang dicurigai dan dikonfirmasi berdasarkan kuantitas. |
Antara September 2024 dan Maret 2025, lebih dari 30.000 dompet unik diperkirakan telah menjadi korban oleh Inferno Drainer, yang menyebabkan setidaknya $ 9 juta dalam kerugian.
Inferno Drainer mengklaim telah menutup operasinya pada bulan November 2023. Tetapi temuan terbaru mengungkapkan bahwa drainer crypto tetap aktif, menggunakan kontrak pintar sekali pakai dan konfigurasi terenkripsi rantai untuk membuat deteksi lebih menantang.
“Penyerang mengalihkan pengguna dari situs web Web3 yang sah ke collab palsu. “Script drainer yang digunakan di situs itu secara langsung dikaitkan dengan drainer Inferno.”
“Inferno Drainer menggunakan taktik anti-deteksi canggih-termasuk kontrak pintar sekali pakai dan berumur pendek, konfigurasi terenkripsi rantai, dan komunikasi berbasis proxy-berhasil melewati mekanisme keamanan dompet dan daftar hitam anti phishing.”
Temuan ini juga mengikuti penemuan kampanye malvertising yang memanfaatkan iklan Facebook yang menyamar sebagai pertukaran cryptocurrency tepercaya dan platform perdagangan seperti Binance, BITBIT, dan TradingView untuk mengarahkan pengguna ke situs web sketsa yang menginstruksikan mereka untuk mengunduh klien desktop.
“Parameter kueri yang terkait dengan iklan Facebook digunakan untuk mendeteksi korban yang sah, sementara lingkungan analisis yang mencurigakan atau otomatis menerima konten jinak,” kata Bitdefender dalam laporan yang dibagikan dengan publikasi.
“Jika situs mendeteksi kondisi yang mencurigakan (misalnya, parameter pelacakan iklan yang hilang atau lingkungan yang khas dari analisis keamanan otomatis), itu menampilkan konten yang tidak berbahaya dan tidak terkait.”
Penginstal, setelah diluncurkan, menampilkan halaman login dari entitas yang disamar melalui msedge_proxy.exe untuk menjaga tipu daya, sementara muatan tambahan dieksekusi secara diam -diam di latar belakang untuk memanen informasi sistem, atau menjalankan perintah tidur untuk “ratusan jam di ujung” jika data yang dieksfiltrasi menunjukkan lingkungan kotak pasir.
Perusahaan cybersecurity Rumania mengatakan ratusan akun Facebook telah mengiklankan halaman-halaman yang menyerahkan malware ini terutama menargetkan pria selama 18 tahun di Bulgaria dan Slovakia.
“Kampanye ini menampilkan pendekatan hibrida, menggabungkan penipuan ujung depan dan layanan malware berbasis lokal,” tambahnya. “Dengan secara dinamis menyesuaikan diri dengan lingkungan korban dan terus memperbarui muatan, para aktor ancaman mempertahankan operasi yang tangguh dan sangat menghindar.”
