In der heutigen digitalen Welt spielen Kryptowährungen eine immer bedeutendere Rolle als Anlage- und Zahlungsmittel. Doch gerade die Token und Wallets, die diese digitalen Vermögenswerte schützen, sind Ziel von immer raffinierteren Cyberangriffen. Eine solche hochentwickelte Bedrohung ist die FreeDrain-Kampagne, die von Sicherheitsexpert:innen erstmals veröffentlicht wurde und den Einsatz von mehr als 38.000 Subdomains offenlegt, die weltweit Kryptowallets angreifen. Diese Angriffsmethode nutzt gezielte Suchmaschinenoptimierung (SEO), um Opfer auf betrügerische Webseiten zu lenken, die den Zugriff auf ihre Seed-Phrasen erlangen und dadurch das Vermögen aus deren Wallets stehlen.
FreeDrain stellt einen neuen Maßstab für skalierbare und schwer zu stoppende Phishing-Attacken dar. Rund um diese Kampagne haben Forschungsteams von SentinelOne und Validin tiefgehende Analysen vorgelegt, die die technischen Hintergründe und die Dimension der Bedrohung aufzeigen. Angreifer verwenden bei FreeDrain vor allem verschiedene kostenlose Webdienste wie gitbook.io, webflow.io und github.
io, um gefälschte Wallet-Interfaces und Lockvogel-Seiten zu hosten. Diese täuschend echt nachgebildeten Seiten erscheinen oft ganz oben in den Suchergebnissen relevanter Suchanfragen wie etwa "Trezor Wallet Balance" oder andere populäre Wallet-Begriffe. Die Opfer werden also auf Webseiten gelockt, welche die echten Interfaces imitieren, um eine hohe Glaubwürdigkeit zu schaffen. Sobald ein Nutzer auf solchen Seiten landet, wird zunächst ein statisches Bild des legitimen Wallets angezeigt. Durch Interaktion folgen entweder eine Weiterleitung zur eigentlichen Seite, zu zwischengeschalteten Seiten oder im schlimmsten Fall eine Weiterleitung zu einer Phishing-Seite, die direkt nach der Seed-Phrase fragt.
Diese Seed-Phrase ist der Schlüssel zur Verwaltung eines Kryptowährungs-Wallets, und sobald sie den Angreifern in die Hände fällt, sind die Tokens innerhalb von Minuten weg. Die technische Finesse von FreeDrain liegt nicht nur im Einsatz von SEO-Manipulation, sondern auch in der Robustheit und Skalierbarkeit des gesamten Angriffsökosystems. Die Täter nutzen kostenlose Cloud-Infrastrukturen wie Amazon S3 und Azure Web Apps, um die betrügerischen Inhalte zu hosten. Auf diese Weise kann das Netzwerk auch bei einzelnen Domain-Abschaltungen schnell wieder neu aufgebaut werden. Die Betreiber sind dabei laut Analysen in der Indian Standard Time (IST) Zone organisiert, was auf eine koordinierte Tätigkeit innerhalb von Indien hinweist.
FreeDrain zeichnet sich durch mehrere moderne Merkmale aus. Dazu gehört die Verwendung von Generativer Künstlicher Intelligenz (GenAI) wie OpenAI GPT-4o, um den textlichen Content der Phishing-Seiten automatisch in großem Umfang zu erstellen. Zudem betreiben die Angreifer Spamdruckmethoden (Spamdexing), um durch massenhaft eingereichte Kommentare die Sichtbarkeit ihrer Seiten in Suchmaschinen zu erhöhen. Dieser Kombinationsangriff stellt eine erhebliche Herausforderung für traditionelle Sicherheitssysteme und Suchmaschinen dar, da die Inhalte immer wieder in modifizierter Form auftauchen. Das Vorgehen von FreeDrain ist nicht unbemerkt geblieben.
Sicherheitsteams beobachten, dass die Kampagne seit 2022 mehrfach weiterentwickelt wurde und inzwischen verschiedene beliebte Wallet-Marken wie Coinbase, MetaMask, Phantom, Trezor und Bitbuy als Lockvögel missbraucht werden. Das Risiko für Nutzer, die gezielt nach Wallet-Informationen suchen, steigt damit weiterhin an. Die Verbreitung über etablierte Plattformen mit hohem Vertrauen erschwert zudem eine frühzeitige Erkennung der Fake-Seiten. Parallel zu FreeDrain gibt es weitere aktuelle Bedrohungen im Bereich der Kryptowährungen. Beispielsweise nutzt die sogenannte Inferno Drainer Kampagne Discord-Server und eine Drainer-as-a-Service-Plattform, um gezielt Nutzer in der Web3-Community zu manipulieren.
Durch die Übernahme von Discord-Links und eine ausgeklügelte OAuth2-Autorisierung nutzen die Angreifer ebenfalls moderne Techniken, um Erkennungen zu vermeiden und Gelder aus Wallets abzugreifen. So zeigt sich, dass sich Bedrohungen im Krypto-Segment stark professionalisieren und aus unterschiedlichsten Kanälen angreifen. Auch hochwertige Werbekampagnen auf sozialen Medien sind mittlerweile zum Mittel der Wahl für Angreifer geworden. Facebook-Anzeigen, die bekannte Krypto-Börsen wie Binance, Bybit oder TradingView imitieren, locken Nutzer auf gefährliche Seiten, wo schädliche Software installiert wird. Diese Malware funktioniert auch im Hintergrund und versucht oft, Sicherheitsmechanismen, Sandboxen oder automatische Analysen auszutricksen, sodass sie lange und unbemerkt aktiv bleiben können.
Dies verdeutlicht die Vielschichtigkeit der modernen Angriffe, bei denen Frontend-Tricks, Cloud-Infrastrukturen und angepasste Malware kombiniert werden. Die FreeDrain-Attacken zeigen eindrücklich, wie stark die Verwundbarkeit von Kryptowallets auf Basis menschlicher Fehler und technischen Schwachstellen zunimmt, vor allem wenn Nutzer Seed-Phrasen eingeben, ohne sicher zu sein, ob sie sich auf einer offiziellen und vertrauenswürdigen Seite befinden. Für Krypto-Nutzer gilt deshalb höchste Vorsicht bei der Verwendung von Wallets und besonders bei Suchanfragen, die zu Webseiten Dritter führen. Sicherheitsexperten empfehlen, Seed-Phrasen niemals online einzugeben, sondern nur in sicheren Offline-Umgebungen und ausschließlich auf offiziellen Plattformen. Um die Bedrohungslage zu entschärfen, müssten die Betreiber kostenloser Webdienste ihre Missbrauchserkennung deutlich verbessern, da die momentane Ablehnung und Sperrung betrügerischer Subdomains nur punktuell funktioniert.
Ebenso wichtig sind verbesserte Sicherheitsmaßnahmen auf Seiten der Suchmaschinen, um manipulative SEO-Techniken früh zu erkennen und entsprechend zu sanktionieren. Die Kombination aus automatisiert generiertem Content, sich ständig ändernden Domainnamen und professionellen Umleitungen macht FreeDrain zu einem komplexen Problem für die IT-Sicherheitslandschaft. Kryptowährungsbesitzer sollten sich zudem kontinuierlich über solche Risiken informieren und moderne Sicherheitstechniken einsetzen. Dazu gehören beispielsweise Hardware-Wallets, Multi-Faktor-Authentifizierung und der Verzicht auf Eingaben von sensiblen Informationen auf Webseiten, die nicht zu 100 % verifiziert sind. Auch Sicherheitsupdates und Awareness-Trainings helfen, den potenziellen Schaden zu minimieren.
Die aktuellste Entwicklung zeigt deutlich, dass Cyberkriminelle verstärkt auf die Kombination aus Technik, Manipulation und Psychologie setzen, um an digitale Vermögenswerte zu gelangen. Die FreeDrain-Kampagne illustriert diese bedrohliche Entwicklung in einer Weise, die die gesamte Krypto-Community aufrütteln sollte. Nur durch gemeinsames Handeln von Nutzern, Plattformen, Suchmaschinen und Sicherheitsfirmen kann es gelingen, die Angriffswellen zu brechen und das Vertrauen in Kryptowährungen langfristig zu erhalten.
![Ask HN: For people who've gone viral] which channels lead to virality?](/images/9E08E9A3-2991-479E-8960-213BB303A74C)
