В мире криптовалют обнаружена масштабная фишинговая операция, направленная на кражу цифровых активов. Исследователи безопасности Кеннет Кинион, Срикар Мадабуши и Том Хегель из компаний SentinelOne и Validin выявили более 38 000 различных поддоменов FreeDrain, размещающих страницы-приманки для кражи секретных фраз криптовалютных кошельков. Согласно анализу, за операцией стоят лица, работающие в часовом поясе IST (Индийское стандартное время) в течение обычных рабочих дней.
Злоумышленники используют комплексную техническую инфраструктуру, включающую манипуляции с поисковой оптимизацией (SEO), бесплатные веб-сервисы и многоуровневые методы перенаправления. Среди эксплуатируемых платформ – , и . Фишинговые страницы размещаются на облачной инфраструктуре, такой как Amazon S3 и Azure Web Apps. Мошенники создают страницы, внешне неотличимые от интерфейсов легитимных криптовалютных кошельков, вероятно используя для генерации контента инструменты искусственного интеллекта, такие как OpenAI GPT-4o. Для продвижения своих ресурсов в поисковых системах применяется техника спамдексинга – массовое размещение спам-комментариев на плохо модерируемых веб-сайтах.
Механизм атаки начинается, когда пользователи ищут в поисковых системах информацию, связанную с криптовалютными кошельками, например, «баланс кошелька Trezor". Жертвы переходят по высокоранжированным вредоносным ссылкам в результатах поиска Google, Bing или DuckDuckGo и попадают на страницы-приманки, содержащие статические скриншоты легитимных интерфейсов кошельков. При взаимодействии с этими страницами происходит одно из трех действий: перенаправление на легитимные веб-сайты, перенаправление на другие промежуточные сайты или прямой переход на фишинговую страницу, которая похищает секретные фразы. После отправки секретной фразы автоматизированная инфраструктура опустошает кошелек в течение нескольких минут.
Кампания FreeDrain активна уже несколько лет. Ранее она была задокументирована специалистами Netskope Threat Labs в августе 2022 года. Последние наблюдения, датированные октябрем 2024 года, показывают использование платформы Webflow для создания поддельных сайтов.
Параллельно с FreeDrain исследователи из Check Point Research обнаружили отдельную фишинговую кампанию под названием Inferno Drainer. Эта кампания злоупотребляет платформой Discord и нацелена на пользователей криптовалют. Она использует инструмент Drainer-as-a-Service (DaaS), захватывает просроченные персонализированные пригласительные ссылки Discord и эксплуатирует аутентификацию Discord OAuth2 для обхода обнаружения.
Inferno Drainer был активен с сентября 2024 года по март 2025 года. За это время он атаковал более 30 000 уникальных кошельков, а оценочные потери составили не менее 9 миллионов долларов. Эта кампания использует одноразовые смарт-контракты и зашифрованные конфигурации в блокчейне. Для привлечения жертв применяются рекламные объявления Ф⃰ с параметрами запросов для выявления реальных пользователей. При этом системам автоматического анализа безопасности демонстрируется безвредный контент. Основными целями являются мужчины старше 18 лет в Болгарии и Словакии.
В рамках вредоносных кампаний используются сложные технические приемы, включая применение msedge_proxy.exe для отображения страниц входа при одновременном выполнении вредоносных полезных нагрузок. Вредоносное ПО собирает информацию о системе, выполняет команды ожидания при обнаружении среды «песочницы» и постоянно обновляет полезные нагрузки для поддержания устойчивости к обнаружению.
Масштаб и сложность операций FreeDrain и Inferno Drainer демонстрируют растущую изощренность криптовалютных мошенников, которые сочетают методы социальной инженерии, технические уловки и автоматизацию для кражи цифровых активов пользователей.
Изображение носит иллюстративный характер
Злоумышленники используют комплексную техническую инфраструктуру, включающую манипуляции с поисковой оптимизацией (SEO), бесплатные веб-сервисы и многоуровневые методы перенаправления. Среди эксплуатируемых платформ – , и . Фишинговые страницы размещаются на облачной инфраструктуре, такой как Amazon S3 и Azure Web Apps. Мошенники создают страницы, внешне неотличимые от интерфейсов легитимных криптовалютных кошельков, вероятно используя для генерации контента инструменты искусственного интеллекта, такие как OpenAI GPT-4o. Для продвижения своих ресурсов в поисковых системах применяется техника спамдексинга – массовое размещение спам-комментариев на плохо модерируемых веб-сайтах.
Механизм атаки начинается, когда пользователи ищут в поисковых системах информацию, связанную с криптовалютными кошельками, например, «баланс кошелька Trezor". Жертвы переходят по высокоранжированным вредоносным ссылкам в результатах поиска Google, Bing или DuckDuckGo и попадают на страницы-приманки, содержащие статические скриншоты легитимных интерфейсов кошельков. При взаимодействии с этими страницами происходит одно из трех действий: перенаправление на легитимные веб-сайты, перенаправление на другие промежуточные сайты или прямой переход на фишинговую страницу, которая похищает секретные фразы. После отправки секретной фразы автоматизированная инфраструктура опустошает кошелек в течение нескольких минут.
Кампания FreeDrain активна уже несколько лет. Ранее она была задокументирована специалистами Netskope Threat Labs в августе 2022 года. Последние наблюдения, датированные октябрем 2024 года, показывают использование платформы Webflow для создания поддельных сайтов.
Параллельно с FreeDrain исследователи из Check Point Research обнаружили отдельную фишинговую кампанию под названием Inferno Drainer. Эта кампания злоупотребляет платформой Discord и нацелена на пользователей криптовалют. Она использует инструмент Drainer-as-a-Service (DaaS), захватывает просроченные персонализированные пригласительные ссылки Discord и эксплуатирует аутентификацию Discord OAuth2 для обхода обнаружения.
Inferno Drainer был активен с сентября 2024 года по март 2025 года. За это время он атаковал более 30 000 уникальных кошельков, а оценочные потери составили не менее 9 миллионов долларов. Эта кампания использует одноразовые смарт-контракты и зашифрованные конфигурации в блокчейне. Для привлечения жертв применяются рекламные объявления Ф⃰ с параметрами запросов для выявления реальных пользователей. При этом системам автоматического анализа безопасности демонстрируется безвредный контент. Основными целями являются мужчины старше 18 лет в Болгарии и Словакии.
В рамках вредоносных кампаний используются сложные технические приемы, включая применение msedge_proxy.exe для отображения страниц входа при одновременном выполнении вредоносных полезных нагрузок. Вредоносное ПО собирает информацию о системе, выполняет команды ожидания при обнаружении среды «песочницы» и постоянно обновляет полезные нагрузки для поддержания устойчивости к обнаружению.
Масштаб и сложность операций FreeDrain и Inferno Drainer демонстрируют растущую изощренность криптовалютных мошенников, которые сочетают методы социальной инженерии, технические уловки и автоматизацию для кражи цифровых активов пользователей.