在 PIVOTcon 2025 大会上,SentinelLABS 和 Validin 的研究人员揭露了一场规模庞大的网络钓鱼活动,该活动一直在悄悄地从全球毫无戒心的用户手中窃取加密货币。这场名为 FreeDrain 的行动利用搜索引擎优化 (SEO)、免费虚拟主机和自动重定向链,无缝地实施大规模数字资产盗窃。
与依赖未经请求的电子邮件或恶意广告的传统网络钓鱼方法不同,FreeDrain 的攻击链始于用户感觉最安全的地方——主要搜索引擎。
报告解释说:“受害者搜索与钱包相关的查询,点击排名靠前的恶意结果,进入诱饵页面,然后被重定向到窃取其种子短语的网络钓鱼页面。”
研究人员证实,类似“Trezor 钱包余额”之类的查询经常会返回钓鱼链接,这些链接在 Google、Bing 和 DuckDuckGo 的搜索结果中都排在首页。这些页面看似简单,通常托管在 Gitbook.io、Webflow.io 或 Github.io 上,并包含一张类似加密钱包仪表盘的大型图片。
单击图像会将用户重定向 – 有时会重定向到合法站点以建立信任,有时会经过多层重定向,最终重定向到托管在 AWS 或 Azure 上的网络钓鱼页面。
经过四个月的调查,研究人员发现了超过 38,000 个用于托管这些诱饵页面的独特子域名。其规模巨大,基础设施滥用也十分严重:
- 被滥用的平台:Gitbook、Webflow、GitHub Pages、Strikingly、WordPress、GoDaddySites 等
- 具有算法生成域名的重定向器,例如 causesconighty[.]com 和 posectsinsive[.]com
- 托管在 Amazon S3 或 Azure Web Apps 上的最终阶段网络钓鱼页面,模仿 Trezor、Ledger 和 MetaMask
报告警告称:“这些并不是晦涩难懂或维护不善的网络钓鱼网站;而是专业制作的诱饵页面,免费托管在受信任平台的子域名上。”
FreeDrain 运营者通过垃圾评论活动(即所谓的垃圾索引)将 SEO 武器化,目标是那些被遗弃或管理不善的网站。许多诱饵页面充斥着 AI 生成的文本,有时会草率地显示诸如“4o mini”(暗示 OpenAI 的 GPT-4o)之类的字符串。
为了逃避黑名单,攻击者使用拼写错误、零宽度空格和 Unicode 相似字符来伪装“Trezor”等关键词。
报告强调:“一个引人注目的例子是,我们发现一个韩国大学相册页面,其中只有一张十多年前上传的图片,被埋在 26,000 条评论之下,几乎所有评论都包含垃圾链接。”
一旦受害者输入钱包助记词,FreeDrain 的后端(通常是一个简单的 HTML 表单,其中包含 JavaScript POST 请求)就会将凭证发送到攻击者控制的端点。资金会在几分钟内被盗走,通常会通过加密货币混合器来避免被追踪。
报告警告说:“尽管网络钓鱼后端很简单,但它却有效、可丢弃,而且通常难以追踪。 ”
这并非一次完全自动化的攻击活动。SentinelLABS 和 Validin 在钓鱼页面上发现了 GitHub 提交元数据、Webflow 发布时间戳,甚至还有实时聊天互动——所有这些都表明攻击者可能来自印度,他们所在的时区是 UTC+05:30(印度标准时间)。
报告总结道:“如果没有更强大的默认保护措施、身份验证或滥用应对基础设施,这些服务将继续被滥用。”
发表评论
您还未登录,请先登录。
登录