FreeDrain sfrutta SEO e servizi web gratuiti per colpire utenti crypto con phishing sofisticato, sottraendo asset digitali su scala mondiale.
Autore: Redazione SecurityOpenLab
Si chiama FreeDrain l'operazione globale di phishing moderna e scalabile che sfrutta manipolazioni SEO, servizi web free-tier e tecniche di reindirizzamento a più livelli per colpire le criptovalute. I ricercatori dei SentinelLabs hanno approfondito le sue modalità operative, rivelando una sofisticata architettura criminale che ha compromesso decine di migliaia di utenti in tutto il mondo.
FreeDrain rappresenta un salto evolutivo nel phishing crittografico, caratterizzato da automazione industriale e infrastruttura distribuita. Il meccanismo base prevede la creazione di siti clone di piattaforme legittime come MetaMask, Coinbase Wallet o Trust Wallet, perfezionati per ingannare anche utenti esperti. L'attacco inizia con l’ottimizzazione SEO di pagine fasulle che imitano tutorial ufficiali, guide per il recupero di seed phrase o strumenti di finanza decentralizzata (DeFi).
Una particolarità è il sistema di reindirizzamento a tre livelli: il dominio iniziale è ospitato su servizi gratuiti come GitHub Pages, GitBook o Webflow; da qui, la vittima viene condotta verso un dominio intermedio che sfrutta la geolocalizzazione dell’indirizzo IP; infine, si atterra su un dominio finale che eroga il kit di phishing personalizzato. Questo schema consente agli attaccanti di bypassare i controlli di sicurezza e di adattare l’attacco alla posizione geografica della vittima.
Gli esperti hanno scoperto che l’infrastruttura si basa su oltre 38.000 sottodomini unici, gestiti attraverso provider di hosting come Cloudflare. Ogni sottodominio viene generato automaticamente con combinazioni lessicali che imitano progetti blockchain reali, sfruttando sia il typosquatting sia tecniche di brand impersonation per massimizzare la probabilità di inganno.
I kit di phishing utilizzano codice JavaScript offuscato che analizza l'user agent del dispositivo e verifica la presenza di estensioni per wallet. Inoltre possono bloccare l’accesso da indirizzi IP associati a società di cybersecurity. In caso di rilevamento positivo, la pagina mostra contenuti innocui per sviare i ricercatori.
L’operazione colpisce principalmente investitori con portafogli software, utenti DeFi che interagiscono con smart contract e sviluppatori blockchain alla ricerca di librerie SDK. I danni economici sono difficili da quantificare considerando la natura delle transazioni crittografiche, ma l’analisi degli indirizzi Ethereum collegati ha rivelato che i fondi vengono prelevati istantaneamente tramite mixer che complicano ulteriormente la tracciabilità.
Per contrastare FreeDrain gli esperti raccomandano la verifica manuale degli URL prima di inserire la seed phrase, l’utilizzo di estensioni wallet scaricate solo da store ufficiali, la configurazione di whitelist per le transazioni crittografiche e il monitoraggio proattivo dei risultati SEO legati alle keyword sensibili.