Los investigadores de ciberseguridad han expuesto lo que dicen que es una «operación de phishing de criptomonedas global a escala industrial» diseñada para robar activos digitales de las billeteras de criptomonedas durante varios años.
La campaña ha sido nombrada en código Liberto por empresas de inteligencia de amenazas Sentinelone y Validin.
«Freedrain utiliza la manipulación de SEO, los servicios web de nivel libre (como Gitbook.io, Webflow.io y Github.io) y técnicas de redirección en capas para dirigirse a las billeteras de criptomonedas», dijeron los investigadores de seguridad Kenneth Kinion, Sreekar Madabushi y Tom Hegel en un informe técnico compartido con las noticias de piratas informáticos.
«Las víctimas buscan consultas relacionadas con la billetera, hacen clic en resultados maliciosos de alto rango, aterrizan en páginas de señolas y se redirigen a páginas de phishing que roban sus frases de semillas».
La escala de la campaña se refleja en el hecho de que se han identificado más de 38,000 páginas distintas de los acuartelos de los subomentos liberados. Estas páginas se alojan en infraestructura en la nube como Amazon S3 y aplicaciones web de Azure, e imitan interfaces de billetera de criptomonedas legítimas.
La actividad se ha atribuido con una alta confianza a las personas con sede en la zona horaria estándar de la India (IST), trabajando horas de semana estándar, citando patrones de compromisos de GitHub asociados con las páginas de señuelos.
Se ha encontrado que los ataques se dirigen a usuarios que buscan consultas relacionadas con la billetera como el «Balance de la billetera Trezor» en motores de búsqueda como Google, Bing y Duckduckgo, redirigiéndolas a las páginas de destino falsas alojadas en Gitbook.io, Webflow.io y Github.io.
Los usuarios desprevenidos que aterrizan en estas páginas reciben una captura de pantalla estática de la interfaz de billetera legítima, haciendo clic en lo que ocurre uno de los siguientes tres comportamientos:
- Redirigir al usuario a sitios web legítimos
- Redirigir al usuario a otros sitios intermediarios
- Dirija al usuario a una página de phishing de aspecto parecido que los solicite a ingresar su frase de semillas, drenando efectivamente sus billeteras
«Todo el flujo no tiene fricción por diseño, combina la manipulación de SEO, los elementos visuales familiares y la confianza de la plataforma para atraer a las víctimas a una falsa sensación de legitimidad», dijeron los investigadores. «Y una vez que se presenta una frase semilla, la infraestructura automatizada del atacante drenará fondos en cuestión de minutos».
Se cree que el contenido textual utilizado en estas páginas señuelo se genera utilizando modelos de lenguaje grandes como OpenAI GPT-4O, indicativo de cómo los actores de amenaza están abusando de las herramientas generativas de inteligencia artificial (Genai) para producir contenido a escala.
Freedrain también se ha observado recurriendo a inundaciones sitios web mal mantenidos con miles de comentarios spam para aumentar la visibilidad de sus páginas de señuelo a través de la indexación de motores de búsqueda, una técnica llamada spamdexing que a menudo se usa para el SEO del juego.
Vale la pena señalar que algunos aspectos de la campaña han sido documentados por Netskope Threat Labs desde agosto de 2022 y recientemente como octubre de 2024, cuando se encontró a los actores de amenaza utilizando el flujo web para girar los sitios de phishing disfrazados de Coinbase, Metamask, Phantom, Trezor y Bitbuy.
«La dependencia de Freedrain en plataformas de nivel libre no es única, y sin mejores salvaguardas, estos servicios continuarán siendo armados a escala», señalaron los investigadores.
«La red Freedrain representa un plan moderno para las operaciones de phishing escalables, una que prospera en plataformas de nivel libre, evade métodos tradicionales de detección de abuso y se adapta rápidamente a los derribos de infraestructura. Al abusar de docenas de servicios legítimos de los servicios legítimos a contenido, distribuir a las páginas de Lure y enrutar a las víctimas, FreedRain ha construido un Ecosystem que es difícil de ser difícil de ser perturbador y fácil de alogar.
La divulgación se produce cuando Check Point Research dijo que descubrió una sofisticada campaña de phishing que abusa de la discordia y individualiza a los usuarios de criptomonedas para robar sus fondos utilizando una herramienta Drainer como Servicio (DAAS) llamada Drainer de Infernó.
Los ataques atraen a las víctimas a unirse a un servidor de discordia malicioso al secuestrar los enlaces de invitación de tocador expirado, al tiempo que aprovechan el flujo de autenticación de Discord Oauth2 para evadir la detección automatizada de sus sitios web maliciosos.
 |
| Desglose de dominios totales en URL sospechosas y confirmadas por cantidad. |
Entre septiembre de 2024 y marzo de 2025, se estima que más de 30,000 billeteras únicas fueron víctimas de Inferno Drainer, lo que lleva a al menos $ 9 millones en pérdidas.
Inferno Drainer afirmó haber cerrado sus operaciones en noviembre de 2023. Pero los últimos hallazgos revelan que el drenador criptográfico permanece activo, empleando contratos inteligentes de un solo uso y configuraciones encriptadas en cadena para hacer que la detección sea más desafiante.
«Los atacantes redirigen a los usuarios de un sitio web de Web3 legítimo a un bot de colaboración falso. Y luego a un sitio de phishing, engañándolos para que firmen transacciones maliciosas», dijo la compañía. «El script de drenaje desplegado en ese sitio estaba directamente vinculado al drenador de infierno».
«Inferno Drainer emplea tácticas anti-detección avanzadas, incluidos contratos inteligentes de un solo uso y de corta duración, configuraciones cifradas en cadena y comunicación basada en el poder, evitando con éxito mecanismos de seguridad de la billetera y listas negras anti-phishing».
Los hallazgos también siguen el descubrimiento de una campaña malvertida que aprovecha los anuncios de Facebook que se hacen pasar por los intercambios de criptomonedas y plataformas comerciales de confianza como Binance, Bybit y TradingView para llevar a los usuarios a sitios web incompletos que les instruyen a descargar un cliente de escritorio.
«Los parámetros de consulta relacionados con los anuncios de Facebook se utilizan para detectar víctimas legítimas, mientras que los entornos de análisis sospechosos o automatizados reciben contenido benigno», dijo Bitdefender en un informe compartido con la publicación.
«Si el sitio detecta condiciones sospechosas (por ejemplo, faltantes parámetros de seguimiento de anuncios o un entorno típico del análisis de seguridad automatizado), muestra contenido inofensivo y no relacionado».
El instalador, una vez lanzado, muestra la página de inicio de sesión de la entidad suplantada a través de MSEDGE_PROXY.EXE para mantener la artimaña, mientras que las cargas útiles adicionales se ejecutan en silencio en segundo plano para cosechar información del sistema, o ejecutar un comando de sueño durante «cientos de horas de final» si los datos exfiltrados indican un entorno de arena.
La compañía rumana de ciberseguridad dijo que cientos de cuentas de Facebook han anunciado estas páginas que no sean de malware que se dirigen principalmente a hombres durante 18 años en Bulgaria y Eslovaquia.
«Esta campaña muestra un enfoque híbrido, fusionando el engaño front-end y un servicio de malware basado en localhost», agregó. «Al adaptarse dinámicamente al entorno de la víctima y actualizar continuamente las cargas útiles, los actores de amenaza mantienen una operación resistente y altamente evasiva».