Torna alle notizie

Indagine ScamIntelLogs

Crypto Drainer Toolkit: cosa c'è dietro i rivenditori di Angel Drainer che prendono di mira il tuo portafoglio

Tre operazioni di “drainer-as-a-service” analizzate a livello di codice. Kit di phishing generati dall’intelligenza artificiale con istruzioni di debug ancora in produzione. Un modello di affiliazione con una commissione dell’80% che alimenta una rapida espansione. E una rete archiviata che dimostra come le azioni di disturbo coordinate funzionino davvero. Questa è l’infrastruttura che sta dietro al prossimo portafoglio a cui stavi per collegarti.

3 reti di drenaggio attive Oltre 15 domini di phishing Commissione di affiliazione dell'80% 1 Rete archiviata
Analisi delle reti di "crypto drainer"
0
Domini di phishing
0
Funzionamento dello scolapasta
0
Utenti monitorati
0
Portafogli identificati
0
Ripetizioni forzate dell'invio dei segnali
0
% di commissione di affiliazione

La catena di attacchi in 9 fasi: dal falso airdrop al portafoglio vuoto

Ogni attacco di tipo “crypto drainer” segue una sequenza prevedibile. Ciò che rende pericolose le operazioni di tipo “drainer-as-a-service” non è l’innovazione, bensì la portata. La stessa catena di attacchi viene replicata su decine di domini, ognuno dei quali rappresenta una nuova trappola per vittime ignare. Ecco la sequenza esatta, estratta dal codice sorgente di TRXDrop, passo dopo passo.

Flusso completo dell'attacco di Drainer

Questa sequenza di 9 passaggi è stata ricostruita a partire dal codice sorgente decompilato di TRXDrop. Ogni passaggio è documentato con i relativi riferimenti al codice nel repository ScamIntelLogs.

La catena di attacco di phishing nel mondo delle criptovalute in 9 fasi: annuncio falso di airdrop, clic degli utenti, pagina di destinazione di phishing, collegamento del wallet, autorizzazione dannosa, approvazione della transazione, sottrazione dei token, mixer di fondi, prelievo di denaro
La catena di un attacco di phishing nel mondo delle criptovalute in 9 fasi: dalla pubblicità fasulla su un airdrop allo svuotamento del portafoglio, fino al riciclaggio.
1
Annuncio falso su un airdrop
La vittima vede un post in evidenza o un messaggio su Telegram che pubblicizza un airdrop TRX/SOL. Esempi di domini: trx-drop.com, tronrefund.com, trxairdrop.io.
2
Pagina di destinazione
La pagina, dall'aspetto professionale, imita un vero airdrop della Fondazione TRON. I contatori per il conto alla rovescia e i contatori fasulli delle richieste creano un senso di urgenza.
3
Messaggio di WalletConnect
Il sito avvia WalletConnect utilizzando un ID progetto rubato fbf5b42d9006502246e73447f5d50e33. La vittima collega il proprio portafoglio credendo che sia necessario per effettuare la richiesta.
4
Richiesta di autorizzazione
Drainer richiede autorizzazioni generiche per i token. La richiesta di firma è volutamente vaga per nascondere ciò che viene approvato.
5
Approvazione dei token
La vittima firma un approve() transazione che conferisce al titolare del contratto "drainer" l'autorità illimitata di spendere token specifici.
6
setApprovalForAll
Una seconda transazione richiama setApprovalForAll(), consentendo all'autore dell'attacco di assumere il controllo degli NFT e di tutti i tipi di token presenti nel portafoglio.
7
Token di trasferimento
Il contratto per lo scarico prevede un intervento immediato transferFrom() per spostare tutti i token approvati nella collezione del portafoglio dell'autore dell'attacco.
8
Portafoglio Drain
I token della catena nativa (TRX, SOL) vengono trasferiti per ultimi. Il portafoglio viene svuotato completamente. Se la vittima rifiuta, il drainer riprova fino a 50 volte prima di consentire la fuga.
9
Fondi destinati all'operatore
I fondi sottratti vengono trasferiti al portafoglio dell'operatore. TRXDrop addebita una commissione di 30 TRX per ogni prelievo. Il resto va all' affiliato che ha pubblicato la pagina di phishing.

50 tentativi di ricontatto forzati

Se una vittima clicca su "Rifiuta" nella finestra di richiesta di firma, il codice TRXDrop riattiva immediatamente la richiesta. Questo ciclo si ripete 50 volte prima che alla vittima sia consentito chiudere la finestra modale. La maggior parte degli utenti rinuncia e effettua l'accesso dopo 3-5 tentativi, ritenendo che il sito presenti un malfunzionamento piuttosto che un intento malevolo. Questo non è un bug. È una scelta progettuale.

Analisi approfondita di TRXDrop: codice generato dall’IA con oltre 30 istruzioni di debug in produzione

Confronto tra livelli di sicurezza: Autenticazione richiesta (lucchetto verde) vs Nessuna autenticazione, accesso libero (lucchetto rosso rotto)
API TRXDrop accessibile senza autenticazione — chiunque disponga dell'URL può leggere i registri dei portafogli, i dati di pagamento e gli ID degli operatori.

TRXDrop è un rivenditore di Angel Drainer che prende di mira i portafogli TRON e Solana. Ciò che contraddistingue questa operazione non è la sofisticatezza — anzi, è proprio il contrario. Il codice sorgente rivela segni inequivocabili di sviluppo assistito dall’intelligenza artificiale: struttura ripetitiva, commenti prolissi e, cosa più rivelatrice, oltre 30 console.log istruzioni di debug rimaste nel codice di produzione.

Questi non sono i segni distintivi di uno sviluppatore esperto. Sono i segni distintivi di qualcuno che ha chiesto a un modello di linguaggio di grandi dimensioni (LLM) di scrivere un drainer e ha implementato il risultato senza verificarlo.

Indicatori di codice generato dall'IA

Il codice sorgente di TRXDrop contiene oltre 30 console.log istruzioni di debug nella versione di produzione. Messaggi del tipo console.log("Attempting wallet connection...") e console.log("Approval transaction sent") sono presenti ovunque. Nessuno sviluppatore professionista — e nessun criminale esperto — invia i log di debug all’ambiente di produzione. Si tratta di output grezzo generato da un LLM, distribuito così com’è.

Chiave di crittografia XOR

Tutte le comunicazioni tra il frontend di Drainer e il pannello di controllo backend sono crittografate con una chiave XOR hardcoded: TRX_SECURE_2024_PANEL_KEY. L'operazione XOR con una chiave statica è banalmente reversibile: un altro indizio di uno sviluppo basato sul copia-incolla.

Pannello di amministrazione di Crypto Drainer v1.2: 1.337 vittime, 12.450 dollari rubati, portafogli collegati e registro dei prelievi in tempo reale - SVELATO
Pannello di amministrazione di Crypto Drainer v1.2: 1.337 vittime, 12.450 dollari rubati, portafogli collegati e registro dei prelievi in tempo reale - SVELATO

Abuso di WalletConnect

ID del progetto WalletConnect fbf5b42d9006502246e73447f5d50e33 è integrato in tutti i 15+ domini. Una singola revoca di questo ID di progetto disabiliterebbe contemporaneamente la connettività dei portafogli su tutta la rete TRXDrop.

50 tentativi di ricontatto forzati

Il ciclo di richiesta di firma effettua 50 tentativi prima di consentire alla vittima di uscire. Questa tattica di pressione psicologica è hardcoded, non configurabile dagli affiliati: si tratta di una funzionalità fondamentale del kit Angel Drainer.

Commissione TRX del 30%

Ogni prelievo andato a buon fine genera una commissione di 30 TRX versata sul portafoglio dell'operatore. Ai tassi attuali, ciò corrisponde a circa 7-8 dollari USA per vittima: un margine esiguo che suggerisce che l'operazione punti più sul volume che sul valore.

Intelligenza operativa

Telegram: @STNlRAWbIaFLiH (ID utente: 6823931109)
Portafoglio da collezione: TRAGn9E6hbTiQrYG5V4sk1gNv3JaWHSxak
Catene interessate: TRON, Solana
Kit di scarico: Angel Drainer (di seconda mano/personalizzato)

Infrastruttura di domini TRXDrop (oltre 15 domini)

DominioTipoStato
trx-drop.comPagina di destinazione principaleAttivo
tronrefund.comEsca per il rimborsoAttivo
tronfund.netIncentivo finanziarioAttivo
trxfund.proIncentivo finanziarioAttivo
trxairdrop.ioEsca per airdropAttivo
trondrop.orgEsca per airdropAttivo
tronreward.comEsca con ricompensaAttivo
tronreward.netEsca con ricompensaAttivo
tronrefund.netEsca per il rimborsoAttivo
trxfund.orgIncentivo finanziarioAttivo
trxdrop.comEsca per airdropAttivo
trxdrop.orgEsca per airdropAttivo
trongiving.comEsca in omaggioAttivo
tronclaims.comIncentivi per i sinistriAttivo
trondrop.proEsca per airdropAttivo

NiceCrypto: La macchina che genera commissioni all’80%

Flusso delle commissioni operative di “Drainer-as-a-Service”: l’80% all’operatore, il 20% come commissione per lo sviluppatore, dal portafoglio della vittima tramite smart contract
Flusso delle commissioni di “Drainer-as-a-Service”: l’80% all’operatore affiliato, il 20% come commissione per lo sviluppatore — dal portafoglio della vittima, tramite smart contract, fino al riciclaggio.

NiceCrypto si basa su un principio semplice: offrire agli affiliati la commissione più alta nel mercato dei “drainer” e loro, in cambio, porteranno le vittime. Con una commissione dell’80%, NiceCrypto offre la ripartizione dei proventi più generosa che abbiamo mai documentato in qualsiasi operazione di “drainer-as-a-service”. L’operatore trattiene solo il 20%: un margine ridottissimo che funziona solo su larga scala.

Il calcolo è semplice. Se un affiliato svuota un portafoglio contenente 1.000 dollari in token, ne trattiene 800. NiceCrypto trattiene 200 $. Con oltre 8.454 $ di pagamenti agli affiliati documentati, l’operazione ha movimentato almeno 42.270 $ di fondi rubati — e questa cifra tiene conto solo dei pagamenti che possiamo osservare direttamente sulla blockchain.

Modello di ricavi: ripartizione 80/20

$8,454+ nei pagamenti documentati agli affiliati rappresenta il minimo, non il massimo. Con una commissione dell’80% per gli affiliati, il totale dei fondi sottratti elaborati da NiceCrypto supera $42,000 minimo. La cifra reale è probabilmente molto più alta, poiché non tutte le transazioni vengono rilevate nel nostro periodo di monitoraggio.

Espansione multi-chain

NiceCrypto è nato su TRON, ma i file di configurazione recuperati dalla loro infrastruttura rivelano un'espansione in corso verso Solana, Catene compatibili con EVM (Ethereum, BSC, Polygon) e TON. Quattro ecosistemi blockchain riuniti sotto un unico pannello di controllo.

Presenza sul forum

NiceCrypto recluta affiliati tramite wwh2club.to, un noto forum dedicato alla criminalità informatica. Il loro bot su Telegram @NCsetup_bot gestisce il processo di onboarding: i nuovi affiliati ricevono un kit di drainer già configurato entro pochi minuti dal primo contatto.

WasabiSquad Connection

Il dominio del sito web di NiceCrypto wasabihub.one suscita interrogativi su un possibile collegamento con l'operazione WasabiSquad. Per stabilire se si tratti di un'infrastruttura condivisa, di un cambio di marchio o di una coincidenza, sono necessarie ulteriori indagini.

Automazione di Telegram

Bot @NCsetup_bot automatizza la gestione degli affiliati: distribuzione dei kit di drenaggio, monitoraggio delle commissioni e erogazione dei pagamenti. L'operatore raramente deve interagire direttamente con gli affiliati.

IOC di NiceCrypto

Bot di Telegram: @NCsetup_bot
Sito web: wasabihub.one
Forum: wwh2club.to
Commissione di affiliazione: 80%
Pagamenti documentati: $8,454+
Catene: TRON (attivo), Solana (in espansione), EVM (in espansione), TON (in espansione)

L'80% va agli affiliati. Noi tratteniamo il 20%. Voi portate il traffico, noi ci occupiamo del codice. La configurazione richiede 5 minuti.
-- Pubblicità di NiceCrypto su wwh2club.to

717Team: Archiviato = Disruption Works

717Team è la prova che queste operazioni possono essere fermate. Con 125 membri e 85 portafogli monitorati, 717Team era un’operazione di “draining” di medie dimensioni che gestiva oltre 12 domini di phishing. Il totale confermato dei fondi sottratti, pari a 2.946,25 dollari, può sembrare modesto rispetto a operazioni di più ampia portata, ma ciò che conta davvero è il risultato: archiviato.

Nel nostro sistema di monitoraggio, il termine "archiviato" indica che l'operazione è stata interrotta al punto da cessare definitivamente. I domini sono stati disattivati. L'infrastruttura è stata distrutta. L'amministratore è stato smascherato. Il 717Team non ha cessato volontariamente le attività. È stato smantellato grazie a segnalazioni coordinate, alle rimozioni dei domini e alla condivisione di informazioni con i partner specializzati nella sicurezza blockchain.

Interruzione confermata

Lo stato “ARCHIVIATO” di 717Team non è un’etichetta che attribuiamo con leggerezza. Significa un’interruzione prolungata su più fronti: rimozioni dei domini, segnalazioni da parte dei provider di hosting, blocco dei portafogli e divulgazione dell’identità dell’amministratore. Il costo di proseguimento dell’operazione ha superato i ricavi. Ecco come si presenta un’interruzione riuscita.

Amministratore: @imdebank

Nome utente dell'amministratore su Telegram @imdebank (ID utente: 7149807602) è stato associato a RublevkaTeam, una rete separata di truffatori in lingua russa già documentata nella nostra indagine su TON. La condivisione degli amministratori tra diverse operazioni è un modello ricorrente.

Scala di rete

125 membri monitorati nei gruppi di Telegram. 85 portafogli identificati tramite analisi on-chain. $2,946.25 confermato esaurito. 717Team reclutato tramite lolz.live, un forum in lingua russa dedicato alla criminalità informatica.

Infrastruttura di dominio

Oltre 12 domini, tra cui checkscore.cc, cryptomus-payment.com, check-score.ru, e altri. Sono stati utilizzati diversi registrar di domini nel tentativo di opporsi alle rimozioni coordinate.

Operazioni dei bot

Bot di Telegram @team717_bot si occupava del coordinamento degli affiliati, del monitoraggio delle vittime e della distribuzione dei pagamenti. Il bot è stato disattivato nell’ambito dell’operazione di contrasto.

717Team IOC

Amministratore: @imdebank (ID: 7149807602)
Gruppo collegato: RublevkaTeam
Bot: @team717_bot
Forum: lolz.live
Membri: 125 su cingoli
Portafogli: 85 identificati
Confermato prosciugato: $2,946.25
Stato:ARCHIVIATO (Interrotto)

Anti-analisi: presente ma facile da aggirare

TRXDrop impiega due tecniche anti-analisi che fanno parte del repertorio standard degli strumenti utilizzati dai drainer. Entrambe sono progettate per ostacolare un’analisi superficiale. Nessuna delle due rappresenta però un ostacolo significativo per un analista esperto.

Trappole del debugger

A setInterval Il ciclo viene eseguito ogni 1.000 millisecondi, eseguendo un debugger messaggio. Quando DevTools è aperto, ciò interrompe continuamente l'esecuzione, dando l'impressione che la pagina sia bloccata. Bypass: Disattiva i punti di interruzione in DevTools (Ctrl+F8) oppure utilizzare l'opzione del menu contestuale "Non mettere mai in pausa qui". Tempo totale di bypass: 2 secondi.

Dirottamento della console

Il codice sovrascrive console.log, console.warn, e console.error con funzioni vuote per sopprimere l'output. È ironico, visto che lo sviluppatore ha lasciato più di 30 istruzioni di debug che proprio queste sostituzioni sono state progettate per nascondere. Bypass: Salva un riferimento ai metodi originali della console prima che la pagina venga caricata, oppure utilizza l'API nativa della console del browser. Tempo totale di bypass: 5 secondi.

L'ora dei dilettanti

La combinazione di codice generato dall’IA, istruzioni di debug in produzione, crittografia XOR statica e misure anti-analisi facilmente aggirabili dipinge un quadro chiaro: l’operatore di TRXDrop non è uno sviluppatore esperto. Si tratta di un truffatore che ha acquistato un kit di drenaggio e ha chiesto a un modello di linguaggio di grande scala (LLM) di personalizzarlo. Il pericolo non sta nella sofisticatezza, ma nell’accessibilità. Quando la barriera all’ingresso è «sai digitare un prompt?», il numero di operatori cresce in modo esponenziale.

Questo schema è ricorrente in tutto l’ecosistema dei “drainer-as-a-service”. Gli sviluppatori dei kit (in questo caso, Angel Drainer) possiedono una reale competenza tecnica. I rivenditori e gli affiliati che utilizzano questi kit spesso non ne dispongono. Il livello anti-analisi non esiste perché gli operatori abbiano una comprensione della ricerca sulla sicurezza, ma perché il kit viene fornito con tale funzione abilitata di default.

Prove e analisi delle fonti

Tutte le prove citate in questa indagine sono conservate nell'archivio PhishDestroy ScamIntelLogs. Ogni operazione dispone di una propria directory contenente file di configurazione, estratti di codice sorgente, elenchi di domini, indirizzi di wallet e informazioni raccolte su Telegram.

Prove relative a TRXDrop

15 domini, codice sorgente, chiavi XOR, ID WalletConnect, account Telegram dell'operatore, indirizzo del wallet.

Visualizza su GitHub

Prove relative a NiceCrypto

File di configurazione, registri dei pagamenti degli affiliati, piani di espansione su più blockchain, post sui forum.

Visualizza su GitHub

717Team Prove

Elenchi dei membri, indirizzi dei portafogli, infrastruttura dei domini, informazioni amministrative, cronologia degli eventi.

Visualizza su GitHub

Divulgazione responsabile

Tutti gli indirizzi di portafoglio, gli elenchi di domini e gli identificatori degli operatori pubblicati nel presente rapporto sono stati comunicati ai team di sicurezza blockchain competenti e ai registrar di domini prima della pubblicazione. L’ID del progetto WalletConnect è stato segnalato per la revoca. Se gestite infrastrutture interessate da questi IOC, contattateci tramite @PhishDestroy_bot.

Proteggi il tuo portafoglio

Il servizio "Drainer-as-a-service" si sta espandendo. L'unica barriera all'ingresso è un messaggio su Telegram e qualche centinaio di dollari. La tua difesa inizia con la consapevolezza.

Non firmare mai alla cieca

Se un sito ti costringe a confermare ripetutamente l'autorizzazione, chiudilo immediatamente. Gli airdrop legittimi non richiedono mai approvazioni illimitate di token.

Verificare prima di collegare

Controlla l'età del dominio, verifica tramite i canali ufficiali del progetto e utilizza un portafoglio temporaneo per richiedere eventuali airdrop.

Utilizza i portafogli hardware

Conserva le somme ingenti su portafogli hardware. Non collegare mai il tuo portafoglio principale a siti non verificati.

Segnala minacce

Hai trovato un sito di scarico abusivo? Segnalalo a @PhishDestroy_bot oppure controlla i domini su analizza.destroy.tools.

Segnala un dominio Analizzare un dominio

Condividi questa indagine

X / Twitter Telegram Reddit LinkedIn

Indagini correlate

BUYTRX smascherato: 55 domini e lo "Approval Drainer" di TRON
INDAGINE
BUYTRX smascherato: 55 domini e lo "Approval Drainer" di TRON
Panel sul phishing di Trust Wallet: 239.000 dollari rubati, 6 operatori
INDAGINE APPROFONDITA
Panel sul phishing di Trust Wallet: 239.000 dollari rubati, 6 operatori
Anatomia del phishing nel mondo delle criptovalute: analisi inversa di 8 veri e propri programmi per il furto di frasi seed
INDAGINE APPROFONDITA
Anatomia del phishing nel mondo delle criptovalute: analisi inversa di 8 veri e propri programmi per il furto di frasi seed
Avviso sulla trasparenza. PhishDestroy è un progetto indipendente e senza fini di lucro. La nostra ricerca potrebbe riflettere un pregiudizio intrinseco nei confronti delle infrastrutture utilizzate per le truffe e dei servizi che le rendono possibili. Invitiamo i lettori a valutare tutto il materiale in modo critico e autonomo. Leggi la nostra dichiarazione completa sulla trasparenza →