I ricercatori della sicurezza informatica hanno esposto quello che dicono è un’operazione di phishing di criptovaluta globale su scala industriale “ingegnerizzata per rubare le risorse digitali dai portafogli di criptovaluta per diversi anni.
La campagna è stata nominata in codice Freedrain dalle imprese di intelligence delle minacce Sentinelone E Validin.
“Freedrain utilizza la manipolazione website positioning, i servizi Net di livello libero (come gitbook.io, webflow.io e github.io) e tecniche di reindirizzamento a strati per colpire i portafogli di criptovaluta”, i ricercatori della sicurezza Kenneth Kinion, Sreekar Madabushi e Tom Hegel hanno detto in un rapporto tecnico condiviso con le notizie sugli hacker.
“Le vittime cercano question legate al portafoglio, fanno clic su risultati maliziosi di alto rango, atterrano sulle pagine del richiamo e vengono reindirizzate a pagine di phishing che rubano le loro frasi di semi.”
La scala del campagna si riflette nel fatto che sono state identificate oltre 38.000 distinti sub-domini di internet hosting di richiamo. Queste pagine sono ospitate su infrastrutture cloud come le app Net Amazon S3 e Azure e imitano le legittime interfacce del portafoglio di criptovaluta.
L’attività è stata attribuita con alta fiducia per le persone con sede nel fuso orario di tempo normal (IST), ore di lavoro nei giorni feriali di lavoro, citando i modelli di GitHub associati alle pagine del richiamo.
Gli attacchi sono stati trovati per indirizzare gli utenti alla ricerca di question legate al portafoglio come “Trezor Pockets Stability” sui motori di ricerca come Google, Bing e DuckDuckgo, reindirizzandole a pagine di atterraggio fasulle ospitate su Gitbook.io, Webflow.io e Github.io.
Gli utenti ignari che atterrano su queste pagine vengono serviti uno screenshot statico dell’interfaccia del portafoglio legittimo, facendo clic su cui si verificano uno dei tre comportamenti sotto
- Reindirizza l’utente a siti Net legittimi
- Reindirizzare l’utente advert altri siti intermediari
- Dirigere l’utente a una pagina di phishing sospesa che li spinge advert entrare nella loro frase di semi, drenando efficacemente i loro portafogli
“L’intero flusso è senza attrito per design, fondendo la manipolazione website positioning, elementi visivi familiari e fiducia della piattaforma per le vittime di passi in un falso senso di legittimità”, hanno affermato i ricercatori. “E una volta presentata una frase di semi, l’infrastruttura automatizzata dell’attaccante drenerà i fondi in pochi minuti.”
Si ritiene che il contenuto testuale utilizzato in queste pagine di esca sia generato utilizzando modelli di linguaggio di grandi dimensioni come Openai GPT-4O, indicativo di come gli attori delle minacce stanno abusando di strumenti di intelligenza artificiale generativa (GENAI) per produrre contenuti su scala.
Freedrain è stato anche osservato ricorrendo a inondazioni di siti Net scarsamente mantenuti con migliaia di commenti spammy per aumentare la visibilità delle loro pagine di esca tramite indicizzazione dei motori di ricerca, una tecnica chiamata spamdexing Questo è spesso abituato a giocare a website positioning.
Vale la pena sottolinearlo Alcuni aspetti della campagna sono stati documentati dai laboratori di minacce di Netskope dall’agosto 2022 e come recentemente Come ottobre 2024, quando gli attori della minaccia furono trovati utilizzando Webflow per girare siti di phishing mascherati da Coinbase, Metamask, Phantom, Trezor e Bitbuy.
“La dipendenza di Freedrain da piattaforme di livello libero non è unica e senza migliori salvaguardie, questi servizi continueranno advert essere armati su larga scala”, hanno osservato i ricercatori.
“La rete FreedRain rappresenta un modello moderno per le operazioni di phishing scalabile, che prospera su piattaforme di livello libero, evade i tradizionali metodi di rilevamento degli abusi e si adatta rapidamente alle infrastrutture di abbattimento. Abuso di dozzine di servizi legittimi per il ricostruzione.
La divulgazione arriva quando la ricerca sul punto di controllo ha dichiarato di aver scoperto una sofisticata campagna di phishing che abusi di discordia e single di chiudere gli utenti di criptovaluta al nice di rubare i loro fondi utilizzando uno strumento DAAS Drainer-as-A-Service (DAAS) Drainer Inferno.
Gli attacchi invocano le vittime advert unire un server discord dannoso per dirottando i collegamenti di invito di vanità scaduti, sfruttando al contempo il flusso di autenticazione di Discord Oauth2 per eludere il rilevamento automatizzato dei loro siti Net dannosi.
 |
| Scomposizione dei domini totali in URL sospetti e confermati per quantità. |
Tra il settembre 2024 e il marzo 2025, si stima che oltre 30.000 portafogli unici siano stati vittimizzati da Inferno Drainer, portando advert almeno 9 milioni di dollari in perdite.
Drainer Inferno reclamato Per aver chiuso le sue operazioni nel novembre 2023. Ma le ultime scoperte rivelano che il crypto Drainer rimane attivo, impiegando contratti intelligenti monouso e configurazioni crittografate su catena per rendere più impegnativo il rilevamento.
“Gli aggressori reindirizzano gli utenti da un sito Net Web3 legittimo a un falso Collab.land bot e poi in un sito di phishing, inducendoli a firmare transazioni dannose “, la società disse. “Lo script di Drainer distribuito su quel sito period direttamente collegato al Drainer Inferno.”
“Inferno Drainer impiega tattiche avanzate anti-detection-inclusi contratti intelligenti a uso monouso e di breve durata, configurazioni crittografate su catena e comunicazione basata su proxy-bypassando con successo i meccanismi di sicurezza del portafoglio e le blasse anti-phishing.”
I risultati seguono anche la scoperta di una campagna di malvertizzazione che sfrutta gli annunci di Fb che impersonano gli scambi di criptovaluta fidati e le piattaforme di buying and selling come Binance, Bybit e TradingView per portare gli utenti a siti Net abbozzati che istruiscono loro di scaricare un cliente desktop.
“I parametri di question relativi agli annunci di Fb vengono utilizzati per rilevare vittime legittime, mentre gli ambienti di analisi sospetti o automatizzati ricevono contenuti benigni”, Bitdefender ” disse In un rapporto condiviso con la pubblicazione.
“Se il sito rileva condizioni sospette (advert es. Parametri di tracciamento degli annunci mancanti o un ambiente tipico dell’analisi della sicurezza automatizzata), mostra invece contenuti innocui e non correlati.”
L’installatore, una volta lanciato, visualizza la pagina di accesso dell’entità impersonata tramite MSEDGE_PROXY.EXE per mantenere lo stratagemma, mentre i payload aggiuntivi vengono eseguiti silenziosamente in background per raccogliere informazioni sul sistema o eseguire un comando di sonno per “centinaia di ore su” se i dati esfiltrati indicano un ambiente di boxe di sabbia.
La società di sicurezza informatica rumena ha affermato che centinaia di account Fb hanno pubblicizzato queste pagine che consegnano il malware principalmente per gli uomini di oltre 18 anni in Bulgaria e in Slovacchia.
“Questa campagna mette in mostra un approccio ibrido, unendo l’inganno front-end e un servizio di malware basato su host locale”, ha aggiunto. “Adattandosi dinamicamente all’ambiente della vittima e aggiornando continuamente i payload, gli attori delle minacce mantengono un’operazione resiliente e altamente evasiva.”
