Os *crypto drainers*, malwares projetados para roubar criptomoedas, tornaram-se mais acessíveis à medida que o ecossistema evolui para um modelo de negócios de software como serviço (SaaS).
Em um relatório publicado em 22 de abril, a empresa de forense cripto e conformidade AMLBot revelou que muitas operações de drainer migraram para um modelo SaaS conhecido como *drainer-as-a-service* (DaaS). Segundo o relatório, disseminadores de malware podem alugar um drainer por apenas 100 a 300 USDt (USDT).
O CEO da AMLBot, Slava Demchuk, disse ao Cointelegraph que “anteriormente, entrar no mundo dos golpes com criptomoedas exigia um bom conhecimento técnico”. Isso já não é mais necessário. No modelo DaaS, “começar não é significativamente mais difícil do que em outros tipos de crimes cibernéticos”.
Demchuk explicou que usuários interessados em drainers ingressam em comunidades online para aprender com golpistas experientes que fornecem guias e tutoriais. É assim que muitos criminosos que atuavam em campanhas tradicionais de phishing migram para o espaço dos crypto drainers.
Cibercrime na Rússia — quase legalizado
Grupos que oferecem drainers como serviço estão se tornando cada vez mais ousados e alguns evoluem como modelos de negócio tradicionais, afirmou Demchuk, acrescentando:
“Curiosamente, alguns grupos de drainers se tornaram tão ousados e profissionalizados que montaram estandes em conferências do setor — o CryptoGrab é um exemplo.”
Quando questionado sobre como uma operação criminosa pode enviar representantes para eventos de TI sem sofrer represálias, como prisões, ele apontou para a aplicação da lei cibernética na Rússia como motivo. “Tudo isso pode ser feito em jurisdições como a Rússia, onde hackear é essencialmente legalizado, desde que não se atue fora do espaço pós-soviético”, disse.
A prática é um segredo aberto na indústria de segurança cibernética há anos. O portal KrebsOnSecurity reportou em 2021 que “praticamente todas as cepas de ransomware” se desativam se detectarem teclados virtuais russos instalados.
Da mesma forma, o ladrão de informações Typhon Reborn v2 verifica a geolocalização do IP do usuário com base em uma lista de países pós-soviéticos. Segundo a Cisco, se for localizado em um desses países, o malware se desativa. A razão é simples: as autoridades russas demonstraram que agem se hackers locais atacarem cidadãos da região.
Drainers continuam crescendo
Demchuk explicou que organizações DaaS geralmente encontram clientes dentro de comunidades já existentes de phishing. Isso inclui fóruns de white/gray/black hat tanto na clearnet quanto na darknet, além de grupos no Telegram e plataformas de mercado cinza.
Em 2024, a Scam Sniffer reportou que os drainers foram responsáveis por cerca de US$ 494 milhões em perdas — um aumento de 67% em relação ao ano anterior, mesmo com apenas 3,7% de crescimento no número de vítimas. Segundo a Kaspersky, o número de recursos dedicados a drainers em fóruns da darknet passou de 55 em 2022 para 129 em 2024.
Desenvolvedores são frequentemente recrutados por meio de anúncios normais. Um investigador da AMLBot, que preferiu permanecer anônimo por razões de segurança, disse ao Cointelegraph que sua equipe encontrou “diversas vagas voltadas a desenvolvedores para construir drainers para o ecossistema Web3”.
Ele compartilhou um anúncio descrevendo as funcionalidades necessárias de um script que esvazia carteiras Hedera (HBAR). Mais uma vez, a vaga era voltada a falantes de russo:
“Esse pedido foi originalmente escrito em russo e compartilhado em um chat do Telegram voltado a desenvolvedores. É um exemplo claro de como talentos técnicos são recrutados ativamente em comunidades de nicho, muitas vezes semiabertas.”
O investigador acrescentou que anúncios como esse surgem em chats voltados a devs de smart contracts. Esses chats não são privados, mas são pequenos, com cerca de 100 a 200 membros.
Os administradores rapidamente deletaram o anúncio usado como exemplo. Mesmo assim, “como costuma acontecer, quem precisava ver, já tinha visto e respondido”.
Tradicionalmente, esse tipo de negócio era conduzido em fóruns especializados da clearnet e da deep web (acessível via Tor). Contudo, o investigador disse que grande parte do conteúdo migrou para o Telegram devido à política da plataforma de não compartilhar dados com autoridades. Isso mudou após a prisão do CEO do Telegram, Pavel Durov:
“Assim que o Telegram anunciou que estava entregando dados, houve um êxodo para o Tor novamente, pois é mais fácil se proteger lá.”
Mesmo assim, essa pode ser uma preocupação superada. Nesta semana, Durov expressou preocupação com a ameaça crescente à privacidade de mensagens na França e em outros países da União Europeia, e disse que o Telegram sairia de certos mercados antes de implementar backdoors que comprometessem a privacidade dos usuários.