Los investigadores de ciberseguridad han expuesto lo que dicen que es una «operación de phishing de criptomonedas integral a escalera industrial» diseñada para robar activos digitales de las billeteras de criptomonedas durante varios abriles.
La campaña ha sido nombrada en código Franco por empresas de inteligencia de amenazas Sentinelone y Validin.
«Freedrain utiliza la manipulación de SEO, los servicios web de nivel franco (como Gitbook.io, Webflow.io y Github.io) y técnicas de redirección en capas para dirigirse a las billeteras de criptomonedas», dijeron los investigadores de seguridad Kenneth Kinion, Sreekar Madabushi y Tom Hegel en un crónica técnico compartido con las parte de piratas informáticos.
«Las víctimas buscan consultas relacionadas con la billetera, hacen clic en resultados maliciosos de stop rango, aterrizan en páginas de señolas y se redirigen a páginas de phishing que roban sus frases de semillas».
La escalera de la campaña se refleja en el hecho de que se han identificado más de 38,000 páginas distintas de los acuartelos de los subomentos liberados. Estas páginas se alojan en infraestructura en la estrato como Amazon S3 y aplicaciones web de Azure, e imitan interfaces de billetera de criptomonedas legítimas.
La actividad se ha atribuido con una reincorporación confianza a las personas con sede en la zona horaria standard de la India (IST), trabajando horas de semana standard, citando patrones de compromisos de GitHub asociados con las páginas de señuelos.
Se ha contrario que los ataques se dirigen a usuarios que buscan consultas relacionadas con la billetera como el «Arqueo de la billetera Trezor» en motores de búsqueda como Google, Bing y Duckduckgo, redirigiéndolas a las páginas de destino falsas alojadas en Gitbook.io, Webflow.io y Github.io.
Los usuarios desprevenidos que aterrizan en estas páginas reciben una captura de pantalla estática de la interfaz de billetera legítima, haciendo clic en lo que ocurre uno de los siguientes tres comportamientos:
- Redirigir al legatario a sitios web legítimos
- Redirigir al legatario a otros sitios intermediarios
- Dirija al legatario a una página de phishing de aspecto parecido que los solicite a ingresar su frase de semillas, drenando efectivamente sus billeteras
«Todo el flujo no tiene fricción por diseño, combina la manipulación de SEO, los medios visuales familiares y la confianza de la plataforma para atraer a las víctimas a una falsa sensación de legalidad», dijeron los investigadores. «Y una vez que se presenta una frase semilla, la infraestructura automatizada del atacante drenará fondos en cuestión de minutos».
Se cree que el contenido textual utilizado en estas páginas señuelo se genera utilizando modelos de jerga grandes como OpenAI GPT-4O, indicativo de cómo los actores de amenaza están abusando de las herramientas generativas de inteligencia industrial (Genai) para producir contenido a escalera.
Freedrain todavía se ha observado recurriendo a inundaciones sitios web mal mantenidos con miles de comentarios spam para aumentar la visibilidad de sus páginas de señuelo a través de la indexación de motores de búsqueda, una técnica convocatoria spamdexing que a menudo se usa para el SEO del gozne.
Vale la pena señalar que algunos aspectos de la campaña han sido documentados por Netskope Threat Labs desde agosto de 2022 y recientemente como octubre de 2024, cuando se encontró a los actores de amenaza utilizando el flujo web para torcer los sitios de phishing disfrazados de Coinbase, Metamask, Phantom, Trezor y Bitbuy.
«La dependencia de Freedrain en plataformas de nivel franco no es única, y sin mejores salvaguardas, estos servicios continuarán siendo armados a escalera», señalaron los investigadores.
«La red Freedrain representa un plan flamante para las operaciones de phishing escalables, una que prospera en plataformas de nivel franco, evade métodos tradicionales de detección de atropello y se adapta rápidamente a los derribos de infraestructura. Al aprovecharse de docenas de servicios legítimos de los servicios legítimos a contenido, distribuir a las páginas de Lure y enrutar a las víctimas, FreedRain ha construido un Ecosystem que es difícil de ser difícil de ser perturbador y posible de alogar.
La divulgación se produce cuando Check Point Research dijo que descubrió una sofisticada campaña de phishing que abusa de la discordia y individualiza a los usuarios de criptomonedas para robar sus fondos utilizando una útil Drainer como Servicio (DAAS) convocatoria Drainer de Infernó.
Los ataques atraen a las víctimas a unirse a un servidor de discordia zorro al secuestrar los enlaces de invitación de tocador expirado, al tiempo que aprovechan el flujo de autenticación de Discord Oauth2 para escamotear la detección automatizada de sus sitios web maliciosos.
 |
| Desglose de dominios totales en URL sospechosas y confirmadas por cantidad. |
Entre septiembre de 2024 y marzo de 2025, se estima que más de 30,000 billeteras únicas fueron víctimas de Inferno Drainer, lo que lleva a al menos $ 9 millones en pérdidas.
Inferno Drainer afirmó deber cerrado sus operaciones en noviembre de 2023. Pero los últimos hallazgos revelan que el drenador criptográfico permanece activo, empleando contratos inteligentes de un solo uso y configuraciones encriptadas en esclavitud para hacer que la detección sea más desafiante.
«Los atacantes redirigen a los usuarios de un sitio web de Web3 razonable a un bot de colaboración copiado. Y luego a un sitio de phishing, engañándolos para que firmen transacciones maliciosas», dijo la compañía. «El script de drenaje desplegado en ese sitio estaba directamente vinculado al drenador de abismo».
«Inferno Drainer emplea tácticas anti-detección avanzadas, incluidos contratos inteligentes de un solo uso y de corta duración, configuraciones cifradas en esclavitud y comunicación basada en el poder, evitando con éxito mecanismos de seguridad de la billetera y listas negras anti-phishing».
Los hallazgos todavía siguen el descubrimiento de una campaña malvertida que aprovecha los anuncios de Facebook que se hacen tener lugar por los intercambios de criptomonedas y plataformas comerciales de confianza como Binance, Bybit y TradingView para admitir a los usuarios a sitios web incompletos que les instruyen a descargar un cliente de escritorio.
«Los parámetros de consulta relacionados con los anuncios de Facebook se utilizan para detectar víctimas legítimas, mientras que los entornos de descomposición sospechosos o automatizados reciben contenido bienintencionado», dijo Bitdefender en un crónica compartido con la publicación.
«Si el sitio detecta condiciones sospechosas (por ejemplo, faltantes parámetros de seguimiento de anuncios o un entorno representativo del descomposición de seguridad automatizado), muestra contenido inofensivo y no relacionado».
El instalador, una vez emprendedor, muestra la página de inicio de sesión de la entidad suplantada a través de MSEDGE_PROXY.EXE para perseverar la artimaña, mientras que las cargas enseres adicionales se ejecutan en silencio en segundo plano para cosechar información del sistema, o ejecutar un comando de sueño durante «cientos de horas de final» si los datos exfiltrados indican un entorno de arena.
La compañía rumana de ciberseguridad dijo que cientos de cuentas de Facebook han anunciado estas páginas que no sean de malware que se dirigen principalmente a hombres durante 18 abriles en Bulgaria y Eslovaquia.
«Esta campaña muestra un enfoque híbrido, fusionando el farsa front-end y un servicio de malware basado en localhost», agregó. «Al adaptarse dinámicamente al entorno de la víctima y poner al día continuamente las cargas enseres, los actores de amenaza mantienen una operación resistente y en extremo evasiva».
