摘要
本報告提供對 FreeDrain 的深入技術分析,這是由 SentinelLABS 與 Validin 揭露的全球工業規模加密貨幣釣魚攻擊。該攻擊利用搜尋引擎最佳化 (SEO)、免費層級網站託管平台以及 AI 生成的內容,系統性地清空加密貨幣錢包。本研究剖析其基礎架構、工作流程、規避技術與運營模式,聚焦於實現其可擴展性與韌性的技術機制。
1. 攻擊概述
FreeDrain 代表釣魚攻擊的典範轉移,利用 超過 38,000 個子網域 ,遍布 GitBook、Webflow、GitHub Pages 等平台,託管誘導頁面。受害者搜尋錢包相關查詢(例如「Trezor 錢包餘額」)時,會遇到在搜尋引擎上排名靠前的惡意結果,導致認證(Credential)被盜並在數分鐘內自動清空資產。
關鍵統計
- 基礎架構 :超過 38,000 個子網域,雲端託管的釣魚頁面(Amazon S3、Azure Web Apps)。
- 運營時間線 :至少自 2022 年起活躍,2024-2025 年觀察到高峰活動。
- 地理位置 :運營者可能位於 UTC+05:30(印度標準時間),工作時間為標準營業時間。
2. 技術架構
2.1 攻擊鏈工作流程
FreeDrain 的攻擊鏈是一個多階段流程,目的為規避偵測同時最大化受害者轉換率:
-
SEO 操作
:
- 關鍵字目標 :誘導頁面針對高流量錢包相關查詢(例如「Ledger 餘額查詢」),使用 AI 生成的問答式內容。
- Spamdexing :濫用被忽略網站的留言區生成反向連結。一個韓國大學相冊頁面託管了 26,000 個連結到 FreeDrain 子網域的垃圾評論。
-
誘導頁面託管
:
-
免費層級平台
:在 GitBook(
*.gitbook.io)、Webflow(*.webflow.io)和 GitHub Pages 上的子網域模仿合法錢包介面。頁面包含可點擊的錢包 UI 截圖,通過分層網域(Layered domains)重新導向用戶。 - 動態內容 :頁面根據時間或 user-agent 在良性與惡意狀態間切換,以避免被移除。
-
免費層級平台
:在 GitBook(
-
重新導向機制
:
-
中間網域
:重新導向器使用演算法生成的名稱(例如
bildherrywation[.]com)來隱藏基礎架構關係。 - 最終釣魚頁面 :託管於雲端服務,這些頁面複製錢包介面(例如 MetaMask、Trezor)並嵌入即時聊天 widget,通過社交工程誘導受害者提交種子短語(Seed phrases)。
-
中間網域
:重新導向器使用演算法生成的名稱(例如
-
自動化竊取
:
- 後端基礎架構 :被盜的種子短語通過 AJAX 或靜態表單發送到攻擊者控制的端點。資金在數分鐘內通過自動化腳本(Automated scripts)被清空。
2.2 規避技術
- AI 生成內容 :誘導頁面使用 GPT-4o mini 進行可擴展內容創建,源代碼中常帶有「4o mini」字串等痕跡。
- Unicode 混淆 :拼寫錯誤的關鍵字(例如「Trezsor」)和 Unicode 字符繞過黑名單。
- 基礎架構輪替(Infrastructure Rotation) :在各平台快速部署新的子網域和釣魚頁面,以對抗移除行動。
3. 基礎架構分析
3.1 託管平台
FreeDrain 濫用管理寬鬆的免費層級服務:
| 平台 | 用途 |
|---|---|
GitBook (
gitbook.io
)
|
託管 40% 的誘導頁面,常見模式如「metamaskchromextan.gitbook.io」。 |
Webflow (
webflow.io
)
|
用於動態重新導向器(例如
ledgerauth-wellat.webflow.io
)。
|
| Azure Web Apps |
最終釣魚頁面(例如
blockfi-api.azurewebsites.net
)。
|
3.2 重新導向網域
重新導向器採用基於 GUID 的 URL 路徑和基於時間的啟動。例如:
-
https://antressmirestos[.]com/{GUID}/index.html
這些網域解析到 AWS S3 buckets 或 Azure instances,流量根據地理位置或 browser fingerprints 進行過濾。
3.3 運營模式
- GitHub 活動 :Commit metadata 顯示使用數百個免費電子郵件地址手動創建帳戶,並與工作時間一致的階段性週期。
- 內容部署 :誘導頁面最初為良性以獲得搜尋引擎信任,後期更新為重新導向腳本。
4. 防禦對策
4.1 平台層級緩解措施
- 主動濫用偵測 :免費層級平台必須對子網域實施更嚴格的監控,檢查關鍵字堆砌和複製模板。
- API 速率限制 :通過限制每個 IP 的提交次數來減少留言垃圾。
4.2 偵測策略
- 行為 AI 引擎 :使用可以偵測異常程序執行緒的解決方案(例如快速種子短語竊取)。
- SEO 監控 :追蹤搜尋結果異常的工具(例如錢包相關詞彙的突然排名飆升)。
4.3 使用者教育
- 種子短語保健() :絕不將種子短語輸入通過搜尋結果存取的網站。
- URL 驗證 :與官方錢包提供者交叉檢查網域。
5. 結論
FreeDrain 體現了 AI、SEO 濫用和雲端基礎架構在現代網絡犯罪中的融合。其成功突顯了管理不足平台中的系統性漏洞,以及適應性防禦的關鍵需求。未來研究應專注於自動化移除系統和 AI 驅動的內容驗證,以大規模打擊此類攻擊。
參考資料
- FreeDrain Unmasked | Uncovering an Industrial-Scale Crypto Theft Network
- 38000+ FreeDrain Subdomains Found Exploiting SEO to Steal Crypto
- Uncovering an Industrial-Scale Crypto Theft Network
- Decrypting SentinelOne Cloud Detection | The Behavioral AI Engine
- FreeDrain Phishing Campaign Exploits Users to Harvest Financial Credentials