Seed → POST-запрос → пустой баланс: как устроена быстрая и чистая кража крипты через FreeDrain

Эксперты по кибербезопасности обнаружили крупномасштабную и тщательно спланированную фишинговую операцию, целью которой была кража криптовалютных активов. На протяжении нескольких лет злоумышленники смогли построить стабильную инфраструктуру, включающую более 38 тысяч поддоменов, ориентированных на владельцев цифровых кошельков. Расследование, проведенное компаниями SentinelOne и Validin, получило кодовое название FreeDrain.

В основе атаки лежат манипуляции с результатами поиска, использование бесплатных хостинговых сервисов, таких как gitbook.io, webflow.io и github.io, а также сложная система перенаправлений. Пользователи, которые искали информацию о своих криптовалютных кошельках, например, вводя запросы вроде «Trezor wallet balance», попадали на фальшивые сайты, копирующие интерфейсы настоящих кошельков. Затем реализовывался один из трех сценариев: либо перенаправление на подлинный сайт, либо на промежуточную страницу, либо на полнофункциональную фишинговую копию, где предлагалось ввести seed-фразу.

Все элементы атаки были выполнены на высоком уровне – от визуального оформления до доверия к платформам, на которых размещались страницы. После ввода фразы восстановления, автоматизированная система практически мгновенно очищала кошелек жертвы. Часть поддельных страниц создавалась с использованием генеративных моделей, таких как GPT-4o, что дало возможность злоумышленникам в массовом порядке создавать текстовый контент без ручного вмешательства.

Одним из отличительных признаков этой кампании стала её привязка ко времени: активность в GitHub, в основном, приходилась на рабочие дни и соответствовала часовому поясу IST, что позволяет предположить, что злоумышленники работали в стандартном графике индийского времени.

Для улучшения позиций своих ресурсов в поисковых системах, злоумышленники активно использовали спамдексинг, заполняя уязвимые веб-сайты тысячами фиктивных комментариев со ссылками на вредоносные страницы. Аналогичные методы были замечены еще в 2022 году экспертами Netskope, когда злоумышленники создавали подделки, имитирующие бренды MetaMask, Phantom, Bitbuy, Coinbase и Trezor.

FreeDrain представляет собой яркий пример масштабируемых фишинговых операций, опирающихся на бесплатную инфраструктуру и устойчивых к блокировкам. Благодаря своей децентрализованной структуре и способности быстро адаптироваться к отключениям, эта кампания демонстрирует высокую живучесть и лёгкость восстановления.

Параллельно с этим, Check Point Research обнаружила активность другой мошеннической схемы под названием Inferno Drainer, предлагающей услуги по краже криптовалюты. Несмотря на официальное заявление о “закрытии” в 2023 году, недавние атаки свидетельствуют о том, что сервис продолжает функционировать, используя одноразовые смарт-контракты, зашифрованные настройки в блокчейне и прокси-серверы для обхода систем безопасности и чёрных списков.

Злоумышленники привлекают жертв через Discord, заменяя устаревшие пригласительные ссылки и используя авторизацию OAuth2 для маскировки. Пользователь перенаправляется на фальшивого бота, а затем на фишинговую страницу, где ему предлагается подписать вредоносную транзакцию. По оценкам исследователей, в период с сентября 2024 года по март 2025 года Inferno Drainer похитил средства как минимум у 30 тысяч криптокошельков на общую сумму не менее 9 миллионов долларов.

Кроме того, исследователи Bitdefender выявили кампанию малвертайзинга, использующую рекламу в Facebook*, маскирующуюся под популярные криптобиржи, такие как Binance, Bybit и TradingView. Эти рекламные объявления вели на вредоносные веб-сайты, предлагающие установить “официальное приложение”. В зависимости от того, исходит ли запрос от реального пользователя или системы анализа, сайт отображал либо вредоносный контент, либо безобидную заглушку. Установщик отображал поддельную страницу входа через браузерный процесс “msedge_proxy.exe”, а в фоновом режиме запускал различные компоненты, предназначенные для сбора информации и попыток “засыпания” на сотни часов в случае обнаружения песочницы.

Всё это свидетельствует о высокой степени сложности и устойчивости новых фишинговых схем, начиная от подмены ссылок и генерации контента, заканчивая имитацией доверенных сервисов и обходом систем анализа.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.

Источник — https://www.securitylab.ru/