Cybersecurity-onderzoekers hebben blootgesteld wat ze zeggen is een “industriële, wereldwijde cryptocurrency phishing-operatie” die is ontworpen om digitale activa van cryptocurrency-portefeuilles gedurende meerdere jaren te stelen.
De campagne is codenaam Freedrain door bedreigingsinformatiebedrijven Sentinelone en Validin.
“Freedrain maakt gebruik van SEO-manipulatie, gratis webservices (zoals GitBook.io, Webflow.io en GitHub.io), en gelaagde omleidingstechnieken om zich te richten op cryptocurrency-portefeuilles,” beveiligingsonderzoekers Kenneth Kinion, Sreekar Madabushi, en Tom Hegel zei in een technisch rapport dat werd gescheiden met het hackersnieuws.
“Slachtoffers zoeken naar portemonnee-gerelateerde vragen, klik op hooggeplaatste kwaadaardige resultaten, landen op kunstaaspagina’s en worden omgeleid naar phishing-pagina’s die hun zaadzinnen stelen.”
De schaal van de campagne wordt weerspiegeld in het feit dat meer dan 38.000 verschillende Freedrain-subdomeinen gastheerpagina’s zijn geïdentificeerd. Deze pagina’s worden gehost op cloudinfrastructuur zoals Amazon S3 en Azure Web Apps en bootsen legitieme cryptocurrency -portemonnee -interfaces na.
De activiteit is toegeschreven met veel vertrouwen aan personen in de Indian Standard Time (IST) tijdzone, werkende standaard weekdaguren, onder verwijzing naar patronen van GitHub -commits geassocieerd met de lokpagina’s.
De aanvallen zijn gevonden om gebruikers te richten op wallet-gerelateerde zoekopdrachten zoals “Trezor Wallet Balance” op zoekmachines zoals Google, Bing en DuckduckGo, waardoor ze worden omgeleid naar neplandingspagina’s gehost op GitBook.io, Webflow.io en GitHub.io.
Ongevredigende gebruikers die op deze pagina’s landen, worden een statische screenshot van de legitieme portemonnee -interface geserveerd, die klikt op welke, een van de onderliggende gedragingen gebeurt –
- Direct de gebruiker door naar legitieme websites
- Direct de gebruiker om naar andere intermediaire sites
- Richt de gebruiker naar een lookalike phishing -pagina die hen ertoe aanzet om hun zaadzin in te voeren, waardoor hun portemonnee effectief wordt leeggemaakt
“De hele stroom is wrijvingsloos door ontwerp, het combineren van SEO -manipulatie, bekende visuele elementen en platformvertrouwen om slachtoffers te mogen in een vals gevoel van legitimiteit,” zeiden de onderzoekers. “En zodra een zaadzin is ingediend, zal de geautomatiseerde infrastructuur van de aanvaller binnen enkele minuten geld aftappen.”
Er wordt aangenomen dat de tekstuele inhoud die in deze lokpagina’s wordt gebruikt, wordt gegenereerd met behulp van grote taalmodellen zoals OpenAI GPT-4O, een indicatie van hoe dreigingsactoren generatieve kunstmatige intelligentie (GenAI) -hulpmiddelen misbruiken om inhoud op schaal te produceren.
Freedrain is ook waargenomen om toevlucht te nemen tot overstroming van slecht onderhouden websites met duizenden spam-opmerkingen om de zichtbaarheid van hun kunstaaspagina’s te vergroten via zoekmachine-indexering, een techniek genaamd spamdexing die vaak wordt gebruikt om SEO te spelen.
Het is de moeite waard erop te wijzen dat sommige aspecten van de campagne sinds augustus 2022 zijn gedocumenteerd door Netskope Threat Labs en al in oktober 2024, toen de dreigingsacteurs werden gevonden met behulp van Webflow om phishing -sites te spinnen die zich bevorderen als Coinbase, Metamask, Phantom, Trezor en Bitbuy.
“Freedrain’s afhankelijkheid van gratis platforms is niet uniek, en zonder betere waarborgen zullen deze diensten op schaal worden bewapend,” merkten de onderzoekers op.
“Het Freedrain-netwerk vertegenwoordigt een moderne blauwdruk voor schaalbare phishing-activiteiten, een die gedijt op gratis platforms, traditionele methoden voor het detecteren van misbruik ontwijkt en zich snel aanpast aan infrastructuurverwijderingen. Door het misbruiken van tientallen legitieme diensten aan gastinhoudsinhoud aan te geven.
De openbaarmaking komt wanneer Check Point Research zei dat het een geavanceerde phishing-campagne heeft ontdekt die discord misbruikt en cryptocurrency-gebruikers drijft om hun fondsen te stelen met behulp van een Drainer-as-A-Service (DAAS) -tool genaamd Inferno Drainer.
De aanvallen verleiden slachtoffers om lid te worden van een kwaadwillende Discord -server door verlopen ijdelheid te kapen, uitnodigen links, terwijl ze ook profiteren van Discord OAuth2 -authenticatiestroom om geautomatiseerde detectie van hun kwaadaardige websites te ontwijken.
Tussen september 2024 en maart 2025 worden naar schatting meer dan 30.000 unieke portefeuilles het slachtoffer geworden door Inferno Drainer, wat leidt tot ten minste $ 9 miljoen aan verliezen.
Inferno Drainer beweerde zijn activiteiten in november 2023 te hebben afgesloten. Maar de nieuwste bevindingen onthullen dat de crypto-afvoer actief blijft, met behulp van slimme contracten voor eenmalig gebruik en gecodeerde configuraties op keten om detectie uitdagender te maken.
“Aanvallers leiden gebruikers om van een legitieme Web3 -website naar een nep collab.land Bot en vervolgens naar een phishing -site, waardoor ze worden misleid om kwaadaardige transacties te ondertekenen,” zei het bedrijf. “Het afvoerscript dat op die site werd geïmplementeerd, was direct gekoppeld aan Inferno Drainer.”
“Inferno Drainer maakt gebruik van geavanceerde anti-detectietactieken-inclusief eenmalige en kortstondige slimme contracten, gecodeerde configuraties op ketens en op proxy gebaseerde communicatie-met succes omzeilen van de beveiligingsmechanismen voor portemonnee en anti-phishing blacklists.”
De bevindingen volgen ook op de ontdekking van een Malvertising -campagne die gebruik maakt van Facebook -advertenties die zich voordoen als vertrouwde cryptocurrency -uitwisselingen en handelsplatforms zoals Binance, Bybit en TradingView om gebruikers te leiden naar schetsmatige websites die hen instrueren om een desktopclient te downloaden.
“Query -parameters met betrekking tot Facebook -advertenties worden gebruikt om legitieme slachtoffers te detecteren, terwijl verdachte of geautomatiseerde analyse -omgevingen goedaardige inhoud ontvangen,” zei Bitdefender in een rapport gedeeld met de publicatie.
“Als de site verdachte omstandigheden detecteert (bijvoorbeeld ontbrekende advertentie-trackingparameters of een omgeving die typerend is voor geautomatiseerde beveiligingsanalyse), vertoont deze in plaats daarvan onschadelijke, niet-gerelateerde inhoud.”
Het installatieprogramma, eenmaal gelanceerd, toont de inlogpagina van de imiteerde entiteit via msedge_proxy.exe om de list bij te houden, terwijl extra payloads in stilte op de achtergrond worden uitgevoerd om systeeminformatie te oogsten of een slaapopdracht uit te voeren voor “honderden uren op” op “op” op “als de geëxfiltreerde gegevens een zandbodemomgeving aangeven.
Het Roemeense cybersecuritybedrijf zei dat honderden Facebook-accounts deze malware-afleveringspagina’s hebben geadverteerd, voornamelijk gericht op mannen gedurende 18 jaar in Bulgarije en Slowakije.
“Deze campagne toont een hybride aanpak, het samenvoegen van front-end bedrog en een op localhost gebaseerde malwareservice,” voegde het eraan toe. “Door zich dynamisch aan te passen aan de omgeving van het slachtoffer en continu payloads bij te werken, behouden de dreigingsacteurs een veerkrachtige, zeer ontwijkende operatie.”
