Un recente rapporto di sicurezza informatica ha portato alla luce una vasta operazione di phishing globale, denominata FreeDrain, mirata al furto di seed phrase dei wallet di criptovalute. Questa campagna, attiva da diversi anni, sfrutta su larga scala tecniche di manipolazione SEO e l’utilizzo di servizi web gratuiti come gitbook.io, webflow.io e github.io, insieme a sofisticati schemi di reindirizzamento, per colpire gli utenti delle criptovalute a livello mondiale.

Il meccanismo di attacco

Il meccanismo di attacco si basa su un ingegnoso sfruttamento della Search Engine Optimization: quando le vittime cercano informazioni relative ai wallet, ad esempio “Trezor wallet balance”, tra i risultati compaiono siti apparentemente legittimi ma in realtà gestiti dagli attaccanti. Cliccando su questi link, gli utenti vengono indirizzati prima su pagine di esca che imitano l’interfaccia dei veri wallet e poi, tramite diversi passaggi, su pagine di phishing dove viene richiesto di inserire la seed phrase. Una volta ottenuta, i criminali possono svuotare il portafoglio digitale della vittima in pochissimi minuti.

Un fenomeno di proporzioni industriali

Il fenomeno è di proporzioni industriali: sono stati individuati oltre 38000 sottodomini FreeDrain, ospitati su infrastrutture cloud come Amazon S3 e Azure Web Apps, tutti progettati per sembrare ufficiali. Le analisi indicano che gli autori operano principalmente dalla zona oraria IST, suggerendo una base operativa in India e seguendo orari lavorativi standard.

Spamdexing e utilizzo dell'intelligenza artificiale

FreeDrain utilizza anche tecniche di spamdexing per aumentare la visibilità delle sue pagine, inondando siti vulnerabili con migliaia di commenti spam che favoriscono l’indicizzazione sui motori di ricerca. Inoltre, i contenuti testuali delle pagine di esca sembrano essere generati automaticamente tramite intelligenza artificiale, come i modelli GPT di OpenAI, consentendo la creazione rapida di grandi volumi di materiale.

Altri attacchi e malware correlati

Questa campagna non è isolata: sono stati segnalati anche altri attacchi simili condotti tramite Discord e campagne di malvertising su Facebook, che veicolano malware camuffati da client di piattaforme di trading affidabili. In particolare, il malware Inferno Drainer, nonostante un presunto shutdown nel 2023, è ancora attivo e ha già causato danni per almeno 9 milioni di dollari a più di 30000 portafogli.

Un modello evoluto di phishing

FreeDrain rappresenta oggi un modello evoluto di phishing, resiliente grazie all’abuso di piattaforme gratuite e in grado di aggirare molte delle difese tradizionali, rendendo la lotta contro questi attacchi una sfida sempre più complessa per la comunità della sicurezza.