Globale Phishing-Welle „FreeDrain“ zielt auf Krypto-Wallets : Gefälschte Wallet-Seiten, KI-generierte Inhalte und SEO-Manipulation im großen Stil: So funktioniert der millionenschwere Krypto-Betrug „FreeDrain“.

Die Bedrohungsanalysten Kenneth Kinion, Sreekar Madabushi und Tom Hegel von SentinelOne und Validin haben in einem Bericht die ausgeklügelte Vorgehensweise der Phishing-Kampagne FreeDrain detailliert beschrieben. Demnach kombinieren die Angreifer geschickt SEO-Manipulation, kostenlose Webdienste wie gitbook.io, webflow.io und github.io sowie mehrstufige Umleitungen, um gezielt auf Kryptowährungs-Wallets zuzugreifen.

Suchmaschinen und Cloud-Dienste für gezielten Krypto-Diebstahl missbraucht

Die Masche beginnt dort, wo viele Nutzer ihre Wallets überprüfen: in der Suchmaschine. Wer etwa nach Begriffen wie „Trezor wallet balance“ sucht, stößt auf scheinbar legitime, hoch gerankte Treffer – hinter denen sich jedoch manipulierte Köder-Seiten verbergen. Diese locken mit vertrauten Oberflächen, führen aber letztlich auf Phishing-Seiten, auf denen Opfer zur Eingabe ihrer Seed-Phrase verleitet werden – der Schlüssel zum digitalen Vermögen.

Zum Verständnis: Eine Seed Phrase oder „Wiederherstellungsphrase“ ist eine Folge von 12 bis 24 Wörtern, die beim Erstellen eines Kryptowährungs-Wallet generiert wird. Sie dient als Backup-Schlüssel, mit dem sich das Wallet und alle darin gespeicherten digitalen Vermögenswerte – wie Bitcoin oder Ethereum – wiederherstellen lassen.

Wer die Seed Phrase besitzt, hat vollständigen Zugriff auf die digitale Geldbörse – unabhängig vom Gerät oder Standort. Deshalb ist sie extrem sensibel und sollte niemals digital gespeichert oder weitergegeben werden, schon gar nicht über E-Mail, Chat oder auf einer Website.

Bereits erschreckend hohes Ausmaß erreicht

Das Ausmaß der Kampagne ist überwältigend: mehr als 38.000 Subdomains wurden bislang identifiziert, die auf Cloud-Infrastrukturen wie Amazon S3 und Azure Web Apps gehostet werden. Sie imitieren bekannte Wallet-Oberflächen täuschend echt. Die dahinterstehenden Akteure, so die Analyse, arbeiten mit hoher Wahrscheinlichkeit aus der indischen Zeitzone (IST) und sind an klassischen Werktagen aktiv – ein Indiz, das aus den GitHub-Aktivitäten hervorgeht, die mit den Seiten verknüpft sind.

Für ahnungslose Nutzer zeigt sich immer das gleiche Bild: Auf den Seiten erscheint ein statischer Screenshot einer legitimen Wallet-Oberfläche. Ein Klick darauf löst je nach Konfiguration eine von drei Reaktionen aus:

• Weiterleitung auf eine echte, harmlose Website
• Umleitung auf eine neutrale Vermittlungsseite
• Weiterleitung auf eine täuschend echte Phishing-Seite, auf der die Eingabe der Seed-Phrase gefordert wird

„Der gesamte Ablauf ist nahtlos und zielt darauf ab, Vertrauen zu wecken“, erklären die Forscher. „Die Täter nutzen gezielt bekannte Plattformen, vertraute Designs und die Glaubwürdigkeit großer Dienste, um den Nutzer zu täuschen. Wird die Seed-Phrase einmal eingegeben, greift die automatisierte Infrastruktur sofort zu – innerhalb weniger Minuten sind die Gelder weg.“

Die Inhalte auf den betrügerischen FreeDrain-Seiten wurden offenbar mithilfe großer KI-Sprachmodelle wie OpenAI GPT-4o erstellt. Das legt nahe, dass die Angreifer künstliche Intelligenz gezielt missbrauchen, um täuschend echte Texte in großem Umfang automatisch zu generieren – beispielsweise für Anleitungen, Formulare oder gefälschte Supporttexte.

Zusätzlich greifen die Täter zu einer weiteren bekannten SEO-Taktik: Spamdexing. Dabei werden schlecht gewartete Webseiten mit Tausenden von Spam-Kommentaren überflutet, um die Sichtbarkeit der eigenen Köder-Seiten in Suchmaschinen künstlich zu erhöhen. So gelangen ihre manipulierten Seiten in den Suchergebnissen weiter nach oben – und damit in den engeren Radius potenzieller Opfer.

Anfänge der Kampagne reichen Jahre zurück

Bereits seit August 2022 dokumentieren Sicherheitsexperten von Netskope Threat Labs einzelneAktivitäten der Kampagne. Besonders auffällig wurde sie im Oktober 2024, als die Angreifer begannen, über den Webdienst Webflow täuschend echte Phishing-Seiten zu erstellen, die seriöse Krypto-Dienste wie Coinbase, MetaMask, Phantom, Trezor und Bitbuy nachahmten.

Laut den Experten ist der Missbrauch kostenloser Hosting- und Webdienst-Plattformen kein Einzelfall – doch FreeDrain treibt dieses Vorgehen auf die Spitze. Die Kampagne gilt als modernes Beispiel für hochskalierbare Phishing-Operationen: Sie nutzt legitime Infrastrukturen, um Inhalte zu verbreiten, ist schwer zu erkennen, passt sich schnell an neue Bedingungen an – und ist dadurch besonders schwer zu stoppen.

„FreeDrain zeigt, wie einfach sich legitime Dienste in gefährliche Werkzeuge verwandeln lassen“, so die Forscher. „Das daraus entstandene Netzwerk ist robust, flexibel und mit wenigen Handgriffen wiederherstellbar – eine ernsthafte Herausforderung für alle, die im Netz für Sicherheit sorgen.“

Inferno Drainer: Krypto-Drainer weiterhin aktiv trotz angeblichem Rückzug

Parallel zur Aufdeckung von FreeDrain hat Check Point Research eine weitere ausgefeilte Phishing-Kampagne identifiziert: Inferno Drainer, ein sogenanntes Drainer-as-a-Service-Tool, das gezielt Kryptowährungsnutzer ins Visier nimmt. Die Angriffe nutzen die Plattform Discord, um Opfer auf manipulierte Server zu locken – und deren Wallets zu plündern.

Die Masche: Angreifer kapern veraltete Einladungslinks und nutzen den OAuth2-Authentifizierungsprozess von Discord, um Sicherheitsmechanismen zu umgehen. Die Nutzer landen auf gefälschten Webseiten, geben unbemerkt Zugriff auf ihre Wallets – und werden so zum Ziel automatisierter Drainer-Skripte. Zwischen September 2024 und März 2025 fielen schätzungsweise über 30.000 Wallets dem Angriff zum Opfer – mit einem Gesamtschaden von mindestens 9 Millionen US-Dollar.

Inferno Drainer hatte im November 2023 offiziell angekündigt, seine Aktivitäten eingestellt zu haben. Doch aktuelle Erkenntnisse zeigen: Das Tool ist nach wie vor aktiv – und gefährlicher denn je. Es nutzt einmalig verwendbare Smart Contracts sowie verschlüsselte Konfigurationen auf der Blockchain, um die Erkennung durch Sicherheitssysteme gezielt zu erschweren.

„Die Angreifer leiten Nutzer von einer legitimen Web3-Website auf einen gefälschten Collab.Land-Bot und anschließend auf eine Phishing-Seite weiter. Dort bringen sie die Opfer dazu, bösartige Transaktionen zu signieren“, heißt es im Check Point-Bericht. Das dort eingesetzte Drainer-Skript konnte direkt Inferno Drainer zugeordnet werden.

Das Tool setzt dabei auf hochentwickelte Tarnmethoden: Neben kurzlebigen Smart Contracts und verschlüsselten Blockchain-Konfigurationen kommen auch Proxy-Verbindungen zum Einsatz. So gelingt es Inferno Drainer, Sicherheitsmechanismen von Wallets sowie Anti-Phishing-Listen zu umgehen – und unbemerkt digitale Vermögenswerte zu stehlen.

Ein weiteres Beispiel für das hohe technische Niveau moderner Phishing-Kampagnen liefert eine aktuelle Malvertising-Welle, die von Bitdefender analysiert wurde. Hierbei setzen Cyberkriminelle auf gefälschte Facebook-Anzeigen, die als seriöse Kryptoanbieter wie Binance, Bybit oder TradingView auftreten. Klickt ein Nutzer darauf, wird er auf Seiten weitergeleitet, die ihn zum Download eines angeblichen Desktop-Clients auffordern – tatsächlich handelt es sich dabei um Schadsoftware.

Die Täuschung ist so raffiniert, dass der Installer nach dem Start die Login-Seite der gefälschten Plattform über msedge_proxy.exe anzeigt, während im Hintergrund unbemerkt Malware nachgeladen wird. Diese kann Daten auslesen oder in einer Art „Schlafmodus“ verharren, wenn sie erkennt, dass sie sich in einer Analyseumgebung befindet – etwa in einer Sandbox.

Laut Bitdefender nutzen die Angreifer Tracking-Parameter aus Facebook-Werbung, um echte Opfer von Sicherheitsanalysten zu unterscheiden. Wird eine Analyseumgebung erkannt, zeigt die Seite stattdessen harmlose Inhalte. Beworben wurden diese gefälschten Seiten über Hunderte von Facebook-Konten, vor allem mit Fokus auf Nutzer in Bulgarien und der Slowakei.

Die Experten sprechen von einem hybriden Angriffsansatz, der Täuschung im Front-End (also in der Benutzeroberfläche) mit zielgerichtetem Malware-Einsatz im Hintergrund kombiniert. Durch die ständige Anpassung an das Verhalten und die Umgebung der Nutzer schaffen es die Angreifer, sich den meisten Schutzmechanismen zu entziehen – und ihre Operation ungestört fortzusetzen.