Mais de 38 mil domínios falsos são usados em golpe global para roubar criptomoedas

Campanha de phishing em larga escala usa manipulação de SEO e plataformas gratuitas para enganar usuários e drenar carteiras digitais

Uma operação global de phishing voltada para o roubo de criptomoedas vem atuando há anos na internet com um impressionante nível de sofisticação. Segundo pesquisadores das empresas de segurança cibernética SentinelOne e Validin, o esquema — apelidado de FreeDrain — já utilizou mais de 38 mil subdomínios para enganar usuários e obter ilegalmente as seed phrases (palavras-chave de recuperação) de carteiras digitais.

O golpe opera de forma silenciosa, utilizando técnicas de manipulação de SEO (otimização de mecanismos de busca) e hospedagem em serviços gratuitos como GitHub.io, Webflow.io e Gitbook.io. Ao buscar termos como “saldo da carteira Trezor” no Google ou outros buscadores, a vítima encontra links aparentemente legítimos que a direcionam para páginas armadilha, visualmente idênticas às de carteiras de criptomoedas.

O processo é projetado para ser “fricção zero”, segundo os pesquisadores, misturando elementos gráficos conhecidos com a confiança natural em grandes plataformas. O usuário é induzido a clicar e inserir suas informações sensíveis. Uma vez informada a seed phrase, os fundos são transferidos automaticamente e em poucos minutos para contas controladas pelos golpistas.

As páginas falsas são frequentemente hospedadas em nuvens como Amazon S3 e Azure Web Apps, aumentando o desafio para autoridades e especialistas que tentam derrubar a rede.

Inteligência artificial e spam em massa

A investigação também aponta que os golpistas estão usando inteligência artificial generativa, como modelos de linguagem baseados em GPT-4, para criar os textos das páginas falsas, multiplicando a escala do golpe. Outro método utilizado é o spamdexing, que consiste em invadir sites com baixa manutenção e inserir milhares de comentários com links para aumentar a visibilidade dos domínios fraudulentos nos mecanismos de busca.

Análises de horários de atividades e commits em repositórios do GitHub sugerem que os operadores estão localizados em zonas com o fuso horário da Índia (IST), e atuam em horários comerciais.

Outros golpes sofisticados continuam ativos

A revelação sobre o FreeDrain ocorre em meio a outros golpes semelhantes que exploram vulnerabilidades de usuários de criptomoedas. Um deles é o Inferno Drainer, uma plataforma criminosa de “Drainer-as-a-Service” que teria causado prejuízos de pelo menos US$ 9 milhões entre setembro de 2024 e março de 2025. Embora o grupo tenha anunciado seu encerramento no final de 2023, pesquisadores confirmaram que o serviço continua ativo e utiliza contratos inteligentes efêmeros e criptografia em cadeia para dificultar sua detecção.

Outro caso recente envolve uma campanha maliciosa que usa anúncios no Facebook para atrair vítimas, simulando empresas legítimas como Binance e TradingView. O golpe direciona o usuário a sites clonados e instala malware através de um programa que simula o navegador Microsoft Edge, mas que opera em segundo plano coletando informações do sistema.

Risco contínuo e dificuldade de contenção

Especialistas alertam que, enquanto plataformas gratuitas não implementarem proteções mais robustas, campanhas como o FreeDrain continuarão a explorar essas ferramentas em larga escala. A natureza descentralizada e a velocidade com que essas operações se adaptam a derrubadas tornam a tarefa de combate especialmente complexa.

“Esses golpes representam um novo modelo de operação de phishing em escala industrial, difícil de interromper e fácil de reconstruir”, destacam os pesquisadores.

---