Специалисты в области кибербезопасности обнаружили значительную и организованную фишинговую кампанию, нацеленную на кражу криптовалюты. На протяжении нескольких лет злоумышленники разработали устойчивую инфраструктуру, включающую свыше 38 тысяч поддоменов, ориентированных на владельцев цифровых кошельков. Исследование, проведённое компаниями SentinelOne и Validin, получило название «FreeDrain».
Суть атаки заключается в манипуляциях с результатами поисковых систем и использовании бесплатных хостинговых платформ, таких как gitbook.io, webflow.io и github.io. Злоумышленники внедрили многоступенчатую систему переадресаций, что позволяло пользователям, которые искали информацию о своих криптокошельках (например, вбивая запросы типа «Trezor wallet balance»), попадать на поддельные сайты, имитирующие интерфейс настоящих кошельков.
В результате они могли попасть либо на легитимный ресурс, либо на промежуточную страницу, либо на фишинговую копию, где их просили ввести seed-фразу. Атака была спроектирована так, что все элементы, от внешнего вида до доверия к используемым платформам, создавали впечатление легитимности.
После ввода seed-фразы автоматизированная система почти мгновенно обирала кошелёк жертвы. Некоторые поддельные сайты создавались с использованием генеративных моделей, таких как GPT-4, что позволяло злоумышленникам массово генерировать текст без человеческого вмешательства. Характерный признак кампании также заключался в временном следе активности: коммиты на GitHub фиксировались преимущественно по будням в индийском часовом поясе, что указывает на работу участников в привычный для них рабочий график.
Для улучшения видимости в поисковых системах злоумышленники активно применяли метод спамдексинга, заполняя уязвимые сайты тысячами фальшивых комментариев с ссылками на свои ловушки. Специалисты Netskope зафиксировали такие атаки ещё в 2022 году, когда преступники создавали фальшивки, имитируя известные бренды, такие как «MetaMask», «Phantom» и «Coinbase». Ярким примером масштабируемых фишинговых операций послужила кампания «FreeDrain», которая использовала бесплатную инфраструктуру и демонстрировала устойчивость к блокировкам. Благодаря распределенной архитектуре и быстрой адаптации к отключениям, эта кампания продолжает существовать и быстро восстанавливаться, даже несмотря на попытки остановить её деятельность.
Параллельно с этим, Check Point Research фиксировала активность другого сервиса кражи — «Inferno Drainer», работающего по модели Drainer-as-a-Service. Несмотря на то, что этот сервис официально закрылся в 2023 году, его последние атаки подтвердили, что он всё ещё функционирует. «Inferno Drainer» использует одноразовые смарт-контракты и зашифрованные настройки, что позволяет злоумышленникам обходить системы защиты. Жертвами становятся пользователи, заманиваемые через Discord, где подменяются ссылки на приглашения и применяется авторизация OAuth2, создающая иллюзию легитимности. Пользователи попадают на фальшивого бота и далее на фишинговую страницу, где их просят подписать вредоносную транзакцию.
Согласно оценкам исследователей, в период с сентября 2024 по март 2025 года «Inferno Drainer» лишил более 30 тысяч криптокошельков не менее чем на 9 миллионов долларов. Дополнительно специалисты Bitdefender выявили кампанию «малвертайзинга», где реклама в Facebook, выдающая себя за известных криптобиржи, таких как «Binance», вела на вредоносные сайты. Эти сайты предлагали установить так называемое «официальное приложение». В зависимости от источника запроса, сайт мог показывать либо вредоносный контент, либо нейтральную заглушку. Установщик отображал поддельную страницу входа через процесс «msedge_proxy.exe», в то время как в фоновом режиме запускались другие вредоносные компоненты, начиная от сбора информации и заканчивая механизмами защиты от песочницы.
