Negli ultimi anni, il panorama delle minacce informatiche legate alle criptovalute ha visto una crescita esponenziale in termini di sofisticazione e scala.
L’operazione FreeDrain, recentemente analizzata da SentinelLABS e Validin, rappresenta un salto di livello: non più piccoli gruppi isolati, ma una vera e propria “fabbrica” globale di phishing, capace di drenare asset digitali su scala industriale.
Indice degli argomenti
Un’operazione invisibile, ma su larga scala
Tutto nasce da una segnalazione: un utente, dopo aver cercato su Google come controllare il saldo del proprio wallet Trezor, si ritrova su una pagina apparentemente legittima, inserisce la propria seed phrase e vede sparire 8 BTC (circa 500.000 dollari).
Non un caso isolato, ma solo la punta dell’iceberg di un’operazione che, secondo gli analisti, ha coinvolto decine di migliaia di vittime in tutto il mondo.
Il workflow dell’attacco: SEO, piattaforme gratuite e redirezioni
La forza di FreeDrain sta nella sua scalabilità e nella capacità di sfruttare i meccanismi di fiducia dell’ecosistema digitale:
- SEO malevola: i criminali creano migliaia di pagine “esca” su piattaforme ad alta reputazione (gitbook.io, webflow.io, github.io, ecc.), ottimizzate per comparire tra i primi risultati di ricerca su query come “Trezor wallet balance” o “come recuperare Metamask”.
- Pagine lure: queste pagine, spesso composte da un’unica grande immagine (screenshot di wallet reali) e qualche riga di testo “educativo” generato da AI (spesso GPT-4o mini), rassicurano l’utente e lo invitano a cliccare.
- Redirezioni multilivello: il click porta l’utente attraverso una catena di domini di reindirizzamento (spesso generati automaticamente), fino alla pagina di phishing finale, un clone perfetto dell’interfaccia originale.
- Furto istantaneo: una volta inserita la seed phrase, il wallet viene svuotato in pochi minuti, con i fondi che transitano su indirizzi usa-e-getta e vengono subito “lavati” tramite mixer crypto.
L’arma segreta: spamdexing e abuso di piattaforme legittime
Non si tratta solo di SEO: FreeDrain sfrutta massicciamente tecniche di spamdexing, inondando siti e blog con commenti contenenti link alle pagine esca. In un caso emblematico, una pagina universitaria coreana è stata sommersa da oltre 26.000 commenti spam, tutti con link malevoli.
Questo permette ai criminali di aggirare i tradizionali vettori di phishing (email, SMS, social) e di intercettare direttamente gli utenti nei motori di ricerca.
L’utilizzo di piattaforme gratuite e rispettate (Gitbook, Webflow, WordPress.com ecc.) rende difficile per i sistemi automatici distinguere tra contenuti legittimi e malevoli, aumentando la longevità delle pagine esca e la probabilità che vengano indicizzate in alto.
Automazione e AI: la produzione industriale del phishing
L’analisi dei contenuti mostra un uso massiccio di AI generativa per produrre testi “Q&A” ottimizzati per le ricerche degli utenti. L’automazione si estende anche alla creazione di domini di redirezione (spesso tramite algoritmi DGA), alla rotazione dei contenuti e alla gestione delle campagne di spam.
In quattro mesi di monitoraggio, SentinelLABS ha identificato oltre 38.000 subdomini unici collegati a FreeDrain, distribuiti su una dozzina di piattaforme.
Evasione, variabilità e resilienza
La struttura delle pagine esca è volutamente variabile: nomi, formattazione, uso di caratteri Unicode e zero-width space, tutto per eludere i filtri automatici e i sistemi di rilevamento.
Alcune pagine restano “dormienti” per settimane prima di essere attivate con i redirect malevoli, una tecnica che consente di accumulare reputazione e sopravvivere più a lungo.
Chi c’è dietro FreeDrain?
Gli indizi raccolti suggeriscono un’operatività principalmente in orario lavorativo indiano (UTC+05:30), ma la vera identità degli operatori resta oscura.
L’infrastruttura è altamente distribuita e resiliente, con un ciclo continuo di creazione, modifica e abbandono dei domini.
Implicazioni e contromisure
FreeDrain rappresenta una minaccia sistemica: sfrutta debolezze strutturali delle piattaforme di pubblicazione, la fiducia degli utenti nei motori di ricerca e la difficoltà di moderare i contenuti su larga scala.
La mitigazione richiede:
- Miglior moderazione e detection a livello di piattaforma (inclusa l’analisi comportamentale dei nuovi siti e subdomini).
- Educazione degli utenti: ricordare che nessun wallet legittimo chiederà mai la seed phrase per “verificare il saldo”.
- Collaborazione tra comunità di sicurezza, provider cloud e motori di ricerca per identificare e bloccare rapidamente le campagne di phishing emergenti.
FreeDrain segna un nuovo standard nell’industrializzazione del furto crypto: automazione, AI, SEO e abuso di piattaforme legittime si combinano in una minaccia difficile da arginare con i soli strumenti tradizionali.
L’ecosistema crypto, e più in generale quello digitale, dovrà evolvere rapidamente per non restare indietro.