Los investigadores de ciberseguridad han expuesto lo que dicen que es una “operación de phishing de criptomonedas general a escalera industrial” diseñada para robar activos digitales de las billeteras de criptomonedas durante varios abriles.
La campaña ha sido nombrada en código Horro por empresas de inteligencia de amenazas Sentinelone y Validin.
“Freedrain utiliza la manipulación de SEO, los servicios web de nivel vacancia (como Gitbook.io, Webflow.io y Github.io) y técnicas de redirección en capas para dirigirse a las billeteras de criptomonedas”, dijeron los investigadores de seguridad Kenneth Kinion, Sreekar Madabushi y Tom Hegel en un noticia técnico compartido con las parte de piratas informáticos.
“Las víctimas buscan consultas relacionadas con la billetera, hacen clic en resultados maliciosos de stop rango, aterrizan en páginas de señolas y se redirigen a páginas de phishing que roban sus frases de semillas”.
La escalera de la campaña se refleja en el hecho de que se han identificado más de 38,000 páginas distintas de los acuartelos de los subomentos liberados. Estas páginas se alojan en infraestructura en la cirro como Amazon S3 y aplicaciones web de Azure, e imitan interfaces de billetera de criptomonedas legítimas.
La actividad se ha atribuido con una incorporación confianza a las personas con sede en la zona horaria habitual de la India (IST), trabajando horas de semana habitual, citando patrones de compromisos de GitHub asociados con las páginas de señuelos.
Se ha enfrentado que los ataques se dirigen a usuarios que buscan consultas relacionadas con la billetera como el “Arqueo de la billetera Trezor” en motores de búsqueda como Google, Bing y Duckduckgo, redirigiéndolas a las páginas de destino falsas alojadas en Gitbook.io, Webflow.io y Github.io.
Los usuarios desprevenidos que aterrizan en estas páginas reciben una captura de pantalla estática de la interfaz de billetera legítima, haciendo clic en lo que ocurre uno de los siguientes tres comportamientos:
- Redirigir al becario a sitios web legítimos
- Redirigir al becario a otros sitios intermediarios
- Dirija al becario a una página de phishing de aspecto parecido que los solicite a ingresar su frase de semillas, drenando efectivamente sus billeteras
“Todo el flujo no tiene fricción por diseño, combina la manipulación de SEO, los nociones visuales familiares y la confianza de la plataforma para atraer a las víctimas a una falsa sensación de licitud”, dijeron los investigadores. “Y una vez que se presenta una frase semilla, la infraestructura automatizada del atacante drenará fondos en cuestión de minutos”.
Se cree que el contenido textual utilizado en estas páginas de señuelo se genera utilizando modelos de idiomas grandes como OpenAI GPT-4O, indicativo de cómo los actores de amenaza están abusando de las herramientas generativas de inteligencia sintético (Genai) para producir contenido a escalera.
Freedrain todavía se ha observado recurriendo a inundaciones sitios web mal mantenidos con miles de comentarios spam para aumentar la visibilidad de sus páginas de señuelo a través de la indexación de motores de búsqueda, una técnica indicación spamdexing que a menudo se usa para el SEO del solaz.
Vale la pena señalar que algunos aspectos de la campaña han sido documentados por Netskope Threat Labs desde agosto de 2022 y recientemente como octubre de 2024, cuando se encontró a los actores de amenaza utilizando el flujo web para torcer los sitios de phishing disfrazados de Coinbase, Metamask, Phantom, Trezor y Bitbuy.
“La dependencia de Freedrain en plataformas de nivel vacancia no es única, y sin mejores salvaguardas, estos servicios continuarán siendo armados a escalera”, señalaron los investigadores.
“La red Freedrain representa un plan flamante para las operaciones de phishing escalables, una que prospera en plataformas de nivel vacancia, evade métodos tradicionales de detección de injusticia y se adapta rápidamente a los derribos de infraestructura. Al excederse de docenas de servicios legítimos de los servicios legítimos a contenido, distribuir a las páginas de Lure y enrutar a las víctimas, FreedRain ha construido un Ecosystem que es difícil de ser difícil de ser perturbador y casquivana de alogar.
La divulgación se produce cuando Check Point Research dijo que descubrió una sofisticada campaña de phishing que abusa de la discordia y individualiza a los usuarios de criptomonedas para robar sus fondos utilizando una útil Drainer como Servicio (DAAS) indicación Drainer de Infernó.
Los ataques atraen a las víctimas a unirse a un servidor de discordia taimado al secuestrar los enlaces de invitación de tocador expirado, al tiempo que aprovechan el flujo de autenticación de Discord Oauth2 para esquivar la detección automatizada de sus sitios web maliciosos.
 |
| Desglose de dominios totales en URL sospechosas y confirmadas por cantidad. |
Entre septiembre de 2024 y marzo de 2025, se estima que más de 30,000 billeteras únicas fueron víctimas de Inferno Drainer, lo que lleva a al menos $ 9 millones en pérdidas.
Inferno Drainer afirmó sobrevenir cerrado sus operaciones en noviembre de 2023. Pero los últimos hallazgos revelan que el drenador criptográfico permanece activo, empleando contratos inteligentes de un solo uso y configuraciones encriptadas en prisión para hacer que la detección sea más desafiante.
“Los atacantes redirigen a los usuarios de un sitio web de Web3 oficial a un bot de colaboración adulterado. Y luego a un sitio de phishing, engañándolos para que firmen transacciones maliciosas”, dijo la compañía. “El script de drenaje desplegado en ese sitio estaba directamente vinculado al drenador de báratro”.
“Inferno Drainer emplea tácticas anti-detección avanzadas, incluidos contratos inteligentes de un solo uso y de corta duración, configuraciones cifradas en prisión y comunicación basada en el poder, evitando con éxito mecanismos de seguridad de la billetera y listas negras anti-phishing”.
Los hallazgos todavía siguen el descubrimiento de una campaña malvertida que aprovecha los anuncios de Facebook que se hacen acaecer por los intercambios de criptomonedas y plataformas comerciales de confianza como Binance, Bybit y TradingView para aguantar a los usuarios a sitios web incompletos que les instruyen a descargar un cliente de escritorio.
“Los parámetros de consulta relacionados con los anuncios de Facebook se utilizan para detectar víctimas legítimas, mientras que los entornos de exploración sospechosos o automatizados reciben contenido bienhechor”, dijo Bitdefender en un noticia compartido con la publicación.
“Si el sitio detecta condiciones sospechosas (por ejemplo, faltantes parámetros de seguimiento de anuncios o un entorno pintoresco del exploración de seguridad automatizado), muestra contenido inofensivo y no relacionado”.
El instalador, una vez audaz, muestra la página de inicio de sesión de la entidad suplantada a través de MSEDGE_PROXY.EXE para suministrar la artimaña, mientras que las cargas enseres adicionales se ejecutan en silencio en segundo plano para cosechar información del sistema, o ejecutar un comando de sueño durante “cientos de horas de final” si los datos exfiltrados indican un entorno de arena.
La compañía rumana de ciberseguridad dijo que cientos de cuentas de Facebook han anunciado estas páginas que no sean de malware que se dirigen principalmente a hombres durante 18 abriles en Bulgaria y Eslovaquia.
“Esta campaña muestra un enfoque híbrido, fusionando el simulación front-end y un servicio de malware basado en localhost”, agregó. “Al adaptarse dinámicamente al entorno de la víctima y renovar continuamente las cargas enseres, los actores de amenaza mantienen una operación resistente y en gran medida evasiva”.
