کلاهبرداری FreeDrain در مقیاس وسیع؛ هزاران زیردامنه جعلی برای سرقت کیف‌پول کریپتویی!

محققان امنیت سایبری از کمپین فیشینگ گسترده‌ای به نام FreeDrain پرده برداشتند که سال‌هاست برای سرقت دارایی‌های دیجیتال از کیف‌پول‌های رمزارز فعال است.

شرکت‌های SentinelOne و Validin این کمپین را شناسایی و نام‌گذاری کردند. آن‌ها گزارش دادند که FreeDrain از تکنیک‌های دستکاری سئو، سرویس‌های رایگان میزبانی وب مانند gitbook.io، webflow.io و github.io، و روش‌های ریدایرکت چندلایه‌ای برای هدف قرار دادن کیف‌پول‌های رمزارز استفاده می‌کند.

این کمپین بیش از ۳۸,۰۰۰ زیردامنه منحصربه‌فرد را برای میزبانی صفحات فریبنده به کار گرفته که روی زیرساخت‌های ابری مانند Amazon S3 و Azure Web Apps اجرا می‌شوند. این صفحات رابط کیف‌پول‌های معتبر رمزارزی را تقلید می‌کنند.

تحلیل‌ها نشان داد که فعالیت‌ها به افرادی در منطقه زمانی هند (IST) نسبت داده شده که در روزهای کاری فعالیت می‌کنند. این نتیجه‌گیری بر اساس الگوی زمان‌بندی کامیت‌های GitHub مرتبط با صفحات فریبنده است.

جزئیات حمله FreeDrain

کاربران با جستجوی عبارات مرتبط با کیف‌پول‌ها مانند «Trezor wallet balance» در موتورهای جستجو مانند Google، Bing و DuckDuckGo، روی نتایج مخرب رتبه‌بالا کلیک کرده و به صفحات فریبنده هدایت می‌شوند. این صفحات در نهایت آن‌ها را به سایت‌های فیشینگ می‌رسانند که عبارات بازیابی(seed phrase) کیف‌پول را سرقت کرده و دارایی‌ها را تخلیه می‌کنند. این سایت‌ها روی دامنه‌هایی مانند gitbook.io، webflow.io، و github.io میزبانی می‌شوند. کاربران پس از ورود به این صفحات با یکی از سه رفتار زیر مواجه می‌شوند:

• هدایت مستقیم به وب‌سایت‌های قانونی.
• انتقال به سایت‌های واسط دیگر.
• هدایت به صفحه فیشینگ که عبارات بازیابی را درخواست کرده و کیف‌پول را تخلیه می‌کند.

محققان اعلام کردند که این فرآیند با ترکیب دستکاری سئو، عناصر بصری آشنا و اعتماد به پلتفرم، کاربران را به حس امنیت کاذب سوق می‌دهد. پس از وارد کردن عبارت بازیابی، زیرساخت خودکار مهاجم در چند دقیقه دارایی‌ها را تخلیه می‌کند.

محتوای متنی صفحات فریبنده احتمالا با مدل‌های زبانی بزرگ مانند GPT-4o ساخته شده و نشان‌دهنده سوءاستفاده مهاجمان از هوش مصنوعی در مقیاس بالاست. FreeDrain همچنین با ارسال هزاران کامنت اسپم به وب‌سایت‌های ضعیف یا رهاشده، از روش spamdexing برای افزایش رتبه صفحات فریبنده در نتایج جستجو استفاده می‌کند.

این کمپین از آگوست ۲۰۲۲ توسط آزمایشگاه تحلیل تهدیدات Netskope مستند شده بود و تا اکتبر ۲۰۲۴ ادامه داشت. در این دوره، مهاجمان از Webflow برای ساخت سایت‌های فیشینگ با ظاهر Coinbase، MetaMask، Phantom، Trezor و Bitbuy استفاده کردند.

محققان گزارش دادند که وابستگی FreeDrain به پلتفرم‌های رایگان تا زمانی که تدابیر امنیتی قوی‌تری اعمال نشود، این سرویس‌ها را به ابزارهای حمله تبدیل می‌کند. آن‌ها افزودند که شبکه FreeDrain اکوسیستمی مقاوم و بازسازی‌پذیر ایجاد کرده که از سرویس‌های مشروع برای میزبانی، انتشار صفحات و هدایت قربانیان بهره می‌برد.

کمپین‌های مرتبط

شرکت Check Point از کمپین فیشینگ دیگری در Discord خبر داد که با ابزار Inferno Drainer کاربران رمزارز را هدف قرار داده است. مهاجمان با سوءاستفاده از لینک‌های دعوت منقضی‌شده، کاربران را به سرورهای مخرب هدایت کرده و با استفاده از جریان احراز هویت OAuth2، از تشخیص خودکار سایت‌های مخرب فرار می‌کنند.

همچنین، کمپین malvertising دیگری با سوءاستفاده از تبلیغات فیس‌بوک شناسایی شد که با جعل پلتفرم‌های رمزارزی مانند Binance، Bybit و TradingView، کاربران را به وب‌سایت‌های مخرب هدایت می‌کند. این سایت‌ها دستور نصب کلاینت دسکتاپ می‌دهند.

شرکت Bitdefender گزارش داد که پارامترهای جستجوی تبلیغات فیس‌بوک برای شناسایی قربانیان واقعی استفاده می‌شوند، در حالی که محیط‌های تحلیل امنیتی محتوای بی‌ضرر دریافت می‌کنند. نصاب مخرب پس از اجرا، صفحه لاگین جعلی را با msedge_proxy.exe نمایش داده و در پس‌زمینه پیلودهای اضافی را اجرا می‌کند تا اطلاعات سیستم را سرقت کند یا در محیط‌های سندباکس برای ساعت‌ها غیرفعال بماند.

Bitdefender اعلام کرد که صدها حساب فیس‌بوک این صفحات مخرب را تبلیغ می‌کنند و عمدتا مردان بالای ۱۸ سال در بلغارستان و اسلواکی را هدف قرار داده‌اند. این کمپین با رابط کاربری فریبنده و سرویس مخرب مبتنی بر لوکال‌هاست(localhost)، عملیاتی مقاوم را حفظ کرده است.

منابع: