Pesquisadores de cibersegurança revelaram uma campanha global de phishing voltada ao roubo de frases-semente de carteiras de criptomoedas, batizada de FreeDrain, que utiliza manipulação de SEO e serviços gratuitos como Gitbook, Webflow e GitHub Pages. Mais de 38 mil subdomínios maliciosos foram identificados, todos hospedando páginas falsas que imitam carteiras legítimas como Trezor, MetaMask, Phantom, Coinbase e Bitbuy.

O golpe começa quando usuários buscam informações sobre suas carteiras em motores de busca como Google ou Bing e clicam em links aparentemente legítimos, mas que os redirecionam para páginas fraudulentas. Essas páginas usam capturas de tela estáticas de interfaces reais para enganar os usuários e levá-los a inserir suas frases-semente. Assim que isso acontece, os criminosos drenam os fundos em poucos minutos. A operação é sofisticada: o conteúdo das páginas é gerado com ferramentas de inteligência artificial, como o GPT-4o, e os atores abusam de serviços gratuitos e técnicas de spamdexing (comentários em massa em sites vulneráveis) para aumentar a visibilidade nos mecanismos de busca. O fuso horário e padrões de atividade sugerem que os autores estão na Índia.

Paralelamente, outro esquema envolvendo o Inferno Drainer, uma ferramenta de “Drainer como Serviço” (DaaS), segue ativo apesar de alegar ter encerrado operações em 2023. Entre setembro de 2024 e março de 2025, mais de 30 mil carteiras foram comprometidas, resultando em prejuízos superiores a US$ 9 milhões. Esse golpe explora links vencidos do Discord e contratos inteligentes de curta duração para dificultar a detecção. Campanhas maliciosas também têm sido promovidas por anúncios no Facebook, direcionando vítimas para downloads falsos de plataformas como Binance e Bybit. Esses sites detectam se o visitante é legítimo ou uma ferramenta automatizada de análise, entregando o conteúdo malicioso apenas aos alvos reais.