Seed → POST-запрос → пустой баланс: как устроена быстрая и чистая кража крипты через FreeDrain

Исследователи в области кибербезопасности раскрыли масштабную и хорошо организованную фишинговую кампанию, направленную на кражу криптовалют. За несколько лет злоумышленникам удалось создать устойчивую инфраструктуру, задействующую более 38 тысяч поддоменов, нацеленных на владельцев цифровых кошельков. Расследование, проведённое компаниями SentinelOne и Validin , получило условное название FreeDrain.

Основу атаки составляют манипуляции с результатами поисковой выдачи, использование бесплатных хостинговых платформ вроде gitbook.io, webflow.io и github.io, а также многоступенчатая система переадресаций. Пользователи, ищущие информацию о своих криптокошельках — например, вводя запросы вроде «Trezor wallet balance» — попадали на поддельные сайты, имитирующие интерфейсы настоящих кошельков. Далее срабатывал один из трёх сценариев: либо перенаправление на легитимный сайт, либо на промежуточную страницу, либо на полноценную фишинговую копию, где предлагалось ввести seed-фразу.

Все элементы атаки были сделаны максимально гладко — от внешнего вида до доверия к платформам, на которых размещались страницы. После ввода фразы автоматизированная инфраструктура почти мгновенно опустошала кошелёк жертвы. Некоторые из поддельных страниц создавались с помощью генеративных моделей вроде GPT-4o, что позволило атакующим массово генерировать текстовый контент без участия человека.

Одним из характерных признаков кампании стал временной след активности: коммиты в GitHub происходили преимущественно по будням в часовом поясе IST, что указывает на участников, действующих в режиме стандартной рабочей недели по индийскому времени.

Чтобы повысить видимость своих страниц в поисковиках, злоумышленники также активно использовали технику спамдексинга — засоряли слабозащищённые сайты тысячами фальшивых комментариев со ссылками на ловушки. Подобные приёмы фиксировались ещё в 2022 году специалистами из Netskope, когда атакующие создавали фальшивки под бренды MetaMask, Phantom, Bitbuy, Coinbase и Trezor.

FreeDrain стала показательным примером масштабируемых фишинговых операций, базирующихся на бесплатной инфраструктуре и устойчивых к блокировкам. Благодаря распределённой архитектуре и быстрой адаптации к отключениям, кампания сохраняет живучесть и легко восстанавливается.

Параллельно Check Point Research зафиксировала активность другой схемы кражи — Drainer-as-a-Service под названием Inferno Drainer. Хотя эта инфраструктура официально «закрылась» в 2023 году, последние атаки показали, что сервис всё ещё работает. Он использует одноразовые смарт-контракты, зашифрованные настройки на блокчейне и прокси для обхода систем защиты и чёрных списков.

Злоумышленники заманивают жертв через Discord, подменяя устаревшие ссылки приглашения и используя авторизацию OAuth2 для маскировки. Пользователь попадает на фальшивого бота, а затем — на фишинговую страницу, где его просят подписать вредоносную транзакцию. По оценке исследователей, между сентябрём 2024 и мартом 2025 года Inferno Drainer лишил более 30 тысяч криптокошельков не менее чем на 9 миллионов долларов.

Дополнительно исследователи из Bitdefender зафиксировали кампанию малвертайзинга с использованием рекламы в Facebook*, выдающей себя за популярные криптобиржи — Binance, Bybit, TradingView. Эти объявления вели на вредоносные сайты, где предлагалось установить «официальное приложение». В зависимости от того, идёт ли запрос от настоящего пользователя или системы анализа, сайт показывал либо вредоносное содержимое, либо безвредную заглушку. Установщик отображал поддельную страницу входа через браузерный процесс «msedge_proxy.exe», а в фоновом режиме запускал другие компоненты — от сбора информации до попытки «усыпления» на сотни часов в случае обнаружения песочницы.

Всё это подчёркивает высокую степень продуманности и устойчивости новых схем фишинга: от подмены ссылок и генерации контента до имитации доверенных сервисов и обхода анализа.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.