Voltar às notícias

Investigação do ScamIntelLogs

Kit de Ferramentas Crypto Drainer: Por dentro dos revendedores do Angel Drainer que têm como alvo sua carteira

Três operações de “drainer-as-a-service” analisadas em nível de código. Kits de phishing gerados por IA com instruções de depuração ainda em produção. Um modelo de afiliados com comissão de 80% impulsionando uma rápida expansão. E uma rede arquivada que comprova que a interrupção coordenada funciona. Essa é a infraestrutura por trás da próxima carteira à qual você quase se conectou.

3 redes de drenagem ativas Mais de 15 domínios de phishing 80% de comissão de afiliado 1 Rede arquivada
Análise das redes de drenagem de criptomoedas
0
Domínios de phishing
0
Operações do escorredor
0
Membros monitorados
0
Carteiras identificadas
0
Re-tentativas forçadas de sinalização
0
% de comissão de afiliado

A cadeia de ataque em 9 etapas: do airdrop falso à carteira vazia

Todo drainer de criptomoedas segue uma sequência previsível. O que torna perigosas as operações do tipo “drainer como serviço” não é a inovação — é a escala. A mesma cadeia de ataque é replicada em dezenas de domínios, cada um deles uma nova armadilha para vítimas desavisadas. Aqui está a sequência exata extraída do código-fonte do TRXDrop, passo a passo.

Fluxo completo do ataque do Drainer

Essa sequência de 9 etapas foi reconstruída a partir do código-fonte descompilado do TRXDrop. Cada etapa está documentada com as referências de código correspondentes no repositório ScamIntelLogs.

A cadeia de ataque de phishing de criptomoedas em 9 etapas: anúncio falso de airdrop, cliques do alvo, página de destino de phishing, conexão da carteira, permissão maliciosa, aprovação da transação, drenagem de tokens, misturador de fundos, saque
Cadeia de ataque de phishing de criptomoedas em 9 etapas — desde um anúncio falso de airdrop, passando pelo esvaziamento da carteira, até a lavagem de dinheiro.
1
Anúncio falso sobre airdrop
A vítima vê uma publicação promovida ou uma mensagem no Telegram anunciando um airdrop de TRX/SOL. Exemplos de domínios: trx-drop.com, tronrefund.com, trxairdrop.io.
2
Página de destino
A página, com aparência profissional, imita um airdrop legítimo da Fundação TRON. Contadores de contagem regressiva e contadores falsos de resgates criam uma sensação de urgência.
3
Mensagem do WalletConnect
O site inicia o WalletConnect usando um ID de projeto roubado fbf5b42d9006502246e73447f5d50e33. A vítima vincula sua carteira, acreditando que isso é necessário para receber o pagamento.
4
Solicitação de permissão
O Drainer solicita amplas permissões de token. A mensagem solicitando a assinatura é intencionalmente vaga para ocultar o que está sendo aprovado.
5
Aprovação de token
A vítima assina um approve() transação que concede ao contratante do drainer autoridade ilimitada para gastar tokens específicos.
6
setApprovalForAll
Uma segunda transação chama setApprovalForAll(), concedendo ao invasor o controle sobre os NFTs e todos os tipos de tokens na carteira.
7
Tokens de transferência
Contrato de drenagem com chamada imediata transferFrom() para transferir todos os tokens aprovados para a carteira do invasor.
8
Carteira Drain
Os tokens da cadeia nativa (TRX, SOL) são transferidos por último. A carteira é esvaziada completamente. Se a vítima recusar, o drainer tenta novamente até 50 vezes antes de permitir a fuga.
9
Recursos para a operadora
Os fundos roubados são encaminhados para a carteira do operador. O TRXDrop cobra uma comissão de 30 TRX por transação. O restante vai para o afiliado que criou a página de phishing.

50 tentativas de repetição forçadas

Se a vítima clicar em “Rejeitar” na solicitação de assinatura, o código do TRXDrop reativa imediatamente a solicitação. Esse ciclo se repete 50 vezes antes que a vítima tenha permissão para fechar a janela modal. A maioria dos usuários desiste e faz o login após 3 a 5 tentativas, acreditando que o site esteja com algum problema técnico, e não que seja malicioso. Isso não é um bug. É intencional.

Análise aprofundada do TRXDrop: código gerado por IA com mais de 30 instruções de depuração em produção

Comparação de segurança: Autenticação necessária (cadeado verde) x Sem autenticação – totalmente aberto (cadeado vermelho quebrado)
API do TRXDrop exposta sem autenticação — qualquer pessoa com a URL pode acessar os registros da carteira, os dados de pagamento e os IDs dos operadores.

O TRXDrop é um revendedor do Angel Drainer que tem como alvo carteiras da TRON e da Solana. O que diferencia essa operação não é a sofisticação — é exatamente o contrário. O código-fonte revela sinais inconfundíveis de desenvolvimento assistido por IA: estrutura repetitiva, comentários prolixos e, o mais revelador, mais de 30 console.log instruções de depuração que permaneceram no código de produção.

Esses não são sinais de um desenvolvedor experiente. São sinais de alguém que pediu a um LLM para escrever um drainer e implantou o resultado sem revisão.

Marcadores de código gerado por IA

A base de código do TRXDrop contém mais de 30 console.log instruções de depuração na versão de produção. Mensagens como console.log("Attempting wallet connection...") e console.log("Approval transaction sent") aparecem por toda parte. Nenhum desenvolvedor profissional — e nenhum criminoso experiente — envia registros de depuração para o ambiente de produção. Trata-se de uma saída bruta do LLM, implantada tal como está.

Chave de criptografia XOR

Todas as comunicações entre o front-end do drainer e o painel de back-end são criptografadas com uma chave XOR codificada de forma fixa: TRX_SECURE_2024_PANEL_KEY. O XOR com uma chave estática é trivialmente reversível — mais um indicador de desenvolvimento do tipo “copiar e colar”.

Painel de administração do Crypto Drainer v1.2 exibindo 1.337 vítimas, US$ 12.450 roubados, carteiras conectadas e registro de saques em tempo real — REVELADO
Painel de administração do Crypto Drainer v1.2 exibindo 1.337 vítimas, US$ 12.450 roubados, carteiras conectadas e registro de saques em tempo real — REVELADO

Uso indevido do WalletConnect

ID do projeto WalletConnect fbf5b42d9006502246e73447f5d50e33 está incorporado em todos os mais de 15 domínios. Uma única revogação desse ID de projeto desativaria simultaneamente a conectividade das carteiras em toda a rede TRXDrop.

50 tentativas de repetição forçadas

O ciclo de solicitação de assinatura tenta 50 vezes antes de permitir que a vítima saia. Essa tática de pressão psicológica está codificada de forma fixa, não sendo configurável pelos afiliados — trata-se de um recurso essencial do kit Angel Drainer.

30% de comissão da TRX

Cada roubo bem-sucedido gera uma comissão de 30 TRX para a carteira do operador. Pelas taxas atuais, isso equivale a aproximadamente US$ 7 a 8 por vítima — uma margem baixa, o que sugere que a operação depende mais do volume do que do valor.

Inteligência do Operador

Telegram: @STNlRAWbIaFLiH (ID do usuário: 6823931109)
Carteira da coleção: TRAGn9E6hbTiQrYG5V4sk1gNv3JaWHSxak
Redes visadas: TRON, Solana
Kit de drenagem: Angel Drainer (revendido/personalizado)

Infraestrutura de domínios da TRXDrop (mais de 15 domínios)

DomínioTipoStatus
trx-drop.comPágina inicialAtivo
tronrefund.comIsca do reembolsoAtivo
tronfund.netAtrativo do fundoAtivo
trxfund.proAtrativo do fundoAtivo
trxairdrop.ioIsca para a distribuição aéreaAtivo
trondrop.orgIsca para a distribuição aéreaAtivo
tronreward.comIsca de recompensaAtivo
tronreward.netIsca de recompensaAtivo
tronrefund.netIsca do reembolsoAtivo
trxfund.orgAtrativo do fundoAtivo
trxdrop.comIsca para a distribuição aéreaAtivo
trxdrop.orgIsca para a distribuição aéreaAtivo
trongiving.comIsca para sorteioAtivo
tronclaims.comAtrativo das reivindicaçõesAtivo
trondrop.proIsca para a distribuição aéreaAtivo

NiceCrypto: A máquina de comissões de 80%

Fluxo de comissão operacional do “Drainer-as-a-Service”: 80% para o operador, 20% de taxa para o desenvolvedor, proveniente da carteira da vítima por meio de um contrato inteligente
Fluxo de comissões do “Drainer-as-a-Service”: 80% para o operador afiliado, 20% de taxa para o desenvolvedor — da carteira da vítima, passando pelo contrato inteligente, até a lavagem de dinheiro.

A NiceCrypto opera com base em uma proposta simples: oferecer aos afiliados a maior comissão do mercado de drainer, e eles trarão as vítimas. Com uma comissão de 80%, a NiceCrypto oferece a divisão de lucros mais generosa que já documentamos em qualquer operação do tipo “drainer-as-a-service”. O operador fica com apenas 20% — uma margem mínima que só funciona em grande escala.

A conta é simples. Se um afiliado esvaziar uma carteira contendo US$ 1.000 em tokens, ele fica com US$ 800. A NiceCrypto fica com US$ 200. Com mais de US$ 8.454 em pagamentos documentados a afiliados, a operação já processou, no mínimo, US$ 42.270 em fundos roubados — e esse valor representa apenas os pagamentos que podemos observar diretamente na blockchain.

Modelo de receita: divisão 80/20

$8,454+ nos pagamentos documentados a afiliados representa o valor mínimo, não o máximo. Com uma taxa de afiliados de 80%, o total de fundos roubados processados pela NiceCrypto ultrapassa $42,000 mínimo. O número real provavelmente é significativamente maior, já que nem todas as transações são captadas em nossa janela de monitoramento.

Expansão para várias cadeias

O NiceCrypto teve início na TRON, mas os arquivos de configuração recuperados de sua infraestrutura revelam uma expansão ativa para Solana, Cadeias compatíveis com EVM (Ethereum, BSC, Polygon) e TON. Quatro ecossistemas de blockchain sob um único painel de controle.

Presença no fórum

A NiceCrypto recruta afiliados por meio de wwh2club.to, um fórum conhecido por promover o crime cibernético. O bot deles no Telegram @NCsetup_bot cuida da integração — os novos afiliados recebem um kit de integração já configurado poucos minutos após o contato.

Conexão WasabiSquad

Domínio do site da NiceCrypto wasabihub.one levanta dúvidas sobre uma possível conexão com a operação WasabiSquad. Para determinar se se trata de uma infraestrutura compartilhada, uma mudança de marca ou uma coincidência, é necessário realizar uma investigação mais aprofundada.

Automação do Telegram

Bot @NCsetup_bot automatiza a gestão de afiliados: implantação de kits de drenagem, acompanhamento de comissões e distribuição de pagamentos. O operador raramente precisa interagir diretamente com os afiliados.

IOCs do NiceCrypto

Bot do Telegram: @NCsetup_bot
Site: wasabihub.one
Fórum: wwh2club.to
Comissão de afiliado: 80%
Pagamentos registrados: $8,454+
Correntes: TRON (em atividade), Solana (em expansão), EVM (em expansão), TON (em expansão)

80% para os afiliados. Nós ficamos com 20%. Você traz o tráfego, nós cuidamos do código. A configuração leva 5 minutos.
-- Anúncio da NiceCrypto no site wwh2club.to

717Team: Arquivado = Disruption Works

A 717Team é a prova de que essas operações podem ser interrompidas. Com 125 membros e 85 carteiras rastreadas, a 717Team era uma operação de “draining” de médio porte que operava mais de 12 domínios de phishing. O total confirmado de fundos desviados, de US$ 2.946,25, pode parecer modesto em comparação com operações maiores, mas o que realmente importa é o resultado: arquivado.

Em nosso sistema de rastreamento, “arquivado” significa que a operação foi interrompida a ponto de ser encerrada. Domínios foram retirados do ar. A infraestrutura foi destruída. O administrador foi identificado. A 717Team não encerrou suas atividades voluntariamente. Ela foi desativada por meio de denúncias coordenadas, remoções de domínios e compartilhamento de informações com parceiros de segurança de blockchain.

Interrupção confirmada

O status “ARQUIVADO” da 717Team não é um rótulo que atribuímos levianamente. Significa uma interferência contínua em várias frentes: remoções de domínios, denúncias de provedores de hospedagem, sinalização de carteiras e exposição da identidade do administrador. O custo de manter a operação ultrapassou sua receita. É assim que se parece uma interferência bem-sucedida.

Administrador: @imdebank

Nome de usuário do administrador no Telegram @imdebank (ID do usuário: 7149807602) tem sido associado a Equipe Rublevka, uma rede fraudulenta separada que opera em russo, já documentada anteriormente em nossa investigação sobre a TON. O compartilhamento de administradores entre operações é um padrão recorrente.

Escala da rede

125 membros rastreados em grupos do Telegram. 85 carteiras identificados por meio de análise na cadeia. $2,946.25 confirmado como esgotado. Equipe 717 recrutada por meio de lolz.live, um fórum sobre crimes cibernéticos em língua russa.

Infraestrutura de domínios

Mais de 12 domínios, incluindo checkscore.cc, cryptomus-payment.com, check-score.ru, entre outros. Vários registradores de domínios foram utilizados na tentativa de resistir a remoções coordenadas.

Operações com bots

Bot do Telegram @team717_bot coordenava a rede de afiliados, o rastreamento das vítimas e a distribuição dos pagamentos. O bot foi desativado como parte da operação de desmantelamento.

IOCs da Equipe 717

Admin: @imdebank (ID: 7149807602)
Grupo associado: Equipe Rublevka
Bot: @team717_bot
Fórum: lolz.live
Membros: 125 rastreados
Carteiras: 85 identificados
Confirmado como esvaziado: $2,946.25
Status:ARQUIVADO (Interrompido)

Anti-análise: presente, mas fácil de contornar

O TRXDrop utiliza duas técnicas anti-análise que são comuns no manual de táticas dos drainer. Ambas foram projetadas para dificultar uma análise superficial. Nenhuma delas representa um obstáculo significativo para um analista experiente.

Armadilhas do depurador

A setInterval O loop é acionado a cada 1.000 milissegundos, executando um debugger instrução. Quando o DevTools está aberto, isso interrompe a execução continuamente, dando a impressão de que a página está travada. Desvio: Desativar pontos de interrupção no DevTools (Ctrl+F8) ou use a opção do menu de contexto “Nunca fazer pausa aqui”. Tempo total de ignorar: 2 segundos.

Sequestro de console

O código sobrescreve console.log, console.warn, e console.error com funções vazias para suprimir a saída. É irônico, considerando que o desenvolvedor deixou mais de 30 instruções de depuração que essas substituições foram projetadas para ocultar. Desvio: Armazene uma referência aos métodos originais do console antes que a página seja carregada ou use a API nativa do console do navegador. Tempo total de contorno: 5 segundos.

Hora dos Amadores

A combinação de código gerado por IA, instruções de depuração em ambiente de produção, criptografia XOR estática e medidas anti-análise facilmente contornáveis deixa uma imagem clara: o operador do TRXDrop não é um desenvolvedor experiente. Trata-se de um golpista que comprou um kit de drenagem e solicitou a um LLM que o personalizasse. O perigo não está na sofisticação — está na acessibilidade. Quando a barreira de entrada é “você consegue digitar um prompt?”, o número de operadores cresce exponencialmente.

Esse padrão é consistente em todo o ecossistema do “drainer-as-a-service”. Os desenvolvedores do kit (neste caso, a Angel Drainer) possuem capacidade técnica genuína. Os revendedores e afiliados que implantam esses kits, muitas vezes, não a possuem. A camada anti-análise não existe porque os operadores entendem de pesquisa em segurança — ela existe porque o kit é fornecido com essa camada ativada por padrão.

Evidências e Inteligência de Fontes

Todas as evidências mencionadas nesta investigação estão armazenadas no repositório PhishDestroy ScamIntelLogs. Cada operação possui seu próprio diretório, contendo arquivos de configuração, trechos de código-fonte, listas de domínios, endereços de carteiras e informações do Telegram.

Evidências do TRXDrop

15 domínios, código-fonte, chaves XOR, ID do WalletConnect, operador do Telegram, endereço da carteira.

Ver no GitHub

Evidências do NiceCrypto

Arquivos de configuração, registros de pagamentos a afiliados, planos de expansão para várias cadeias, postagens em fóruns.

Ver no GitHub

717Team Evidence

Listas de membros, endereços de carteiras, infraestrutura de domínios, informações sobre a equipe administrativa, cronograma das interrupções.

Ver no GitHub

Divulgação Responsável

Todos os endereços de carteiras, listas de domínios e identificadores de operadores publicados neste relatório foram compartilhados com as equipes de segurança de blockchain e registradores de domínios relevantes antes da publicação. O ID do Projeto WalletConnect foi comunicado para revogação. Se você opera uma infraestrutura afetada por esses IOCs, entre em contato conosco por meio de @PhishDestroy_bot.

Proteja sua carteira

O serviço de “Drainer-as-a-service” está se expandindo. A barreira à entrada é uma mensagem no Telegram e algumas centenas de dólares. Sua defesa começa com a conscientização.

Nunca assine sem ler

Se um site exibir repetidamente solicitações de assinatura, feche-o imediatamente. Airdrops legítimos nunca exigem aprovações ilimitadas de tokens.

Verifique antes de conectar

Verifique a idade do domínio, confirme a informação pelos canais oficiais do projeto e use uma carteira descartável para resgatar qualquer airdrop.

Use carteiras de hardware

Mantenha grandes quantidades de criptomoedas em carteiras de hardware. Nunca conecte sua carteira principal a sites não verificados.

Denunciar ameaças

Encontrou um local com escoamento de água? Denuncie-o para @PhishDestroy_bot ou verifique domínios em analyze.destroy.tools.

Denunciar um domínio Analisar um domínio

Compartilhe esta investigação

X / Twitter Telegram Reddit LinkedIn

Investigações relacionadas

BUYTRX ao descoberto: 55 domínios e um drainer de aprovação da TRON
INVESTIGAÇÃO
BUYTRX ao descoberto: 55 domínios e um drainer de aprovação da TRON
Painel sobre o caso de phishing da Trust Wallet: US$ 239 mil roubados, 6 operadores
INVESTIGAÇÃO APROFUNDADA
Painel sobre o caso de phishing da Trust Wallet: US$ 239 mil roubados, 6 operadores
Anatomia do phishing de criptomoedas: análise de 8 programas reais de roubo de frases-semente
INVESTIGAÇÃO APROFUNDADA
Anatomia do phishing de criptomoedas: análise de 8 programas reais de roubo de frases-semente
Aviso de transparência. O PhishDestroy é um projeto independente e sem fins lucrativos. Nossa pesquisa pode refletir um viés inerente contra a infraestrutura de golpes e os serviços que a possibilitam. Incentivamos os leitores a avaliarem todo o material de forma crítica e independente. Leia nossa declaração de transparência completa →