近年、暗号資産盗難作戦は孤立したフィッシングページと偽のNFTミントスキャムをはるかに超えて進化しています。かつて悪質なウォレット接続ページを運営する個人アクターが中心であったものは、「ドレイナー・アズ・ア・サービス」(DaaS)プラットフォーム周辺に構築された構造化された地下サービス経済へと発展しています。
従来のマルウェア操作とは異なり、暗号資産ドレイナーは通常、デバイス侵害ではなくソーシャルエンジニアリングに依存しています。被害者は偽の暗号資産、NFT、エアドロップ、またはDeFiウェブサイトに誘導され、ウォレットの接続を求められます。悪質なトランザクションまたはウォレット署名が承認されると、ドレイナーは被害者のウォレットから暗号資産を直接転送でき、多くの場合は数秒以内に行われます。
Flareの研究者による分析は、2025年1月から2026年初頭までの「Lucifer DaaS」に関する地下フォーラム、チャット、チャネルから収集された約700投稿の分析により、現代的なドレイナー操作がどのように内部で機能するかについてのまれな見方を提供しています。
調査結果は、アフィリエイト成長、自動化、フィッシング拡張性、ウォレットセキュリティバイパス、および運用レジリエンスに焦点を当てた、ますます専門化されたエコシステムを明らかにしています。
分析されたデータは、現代的なドレイナー操作がますます正当なSaaS企業と同様に機能していることを示唆しています。Luciferの背後にいるアクターは、ソフトウェアリリース、バグ修正、アフィリエイト手数料、カスタマーサポート、ホスティング推奨事項、デプロイメント自動化、ウェブサイトクローニング、および紹介システムについて議論しており、地下コミュニティ内でDaaSエコシステムがどのように進化しているかについて深い洞察を提供しています。
ドレイナーとは何か、どのように機能するか
暗号資産ドレイナーは、ウォレット権限とトランザクション承認を悪用することにより、被害者のウォレットから暗号資産を直接盗むために設計されたツールです。ウォレット自体をハッキングする代わりに、攻撃者は通常、被害者を偽の暗号資産、NFT、エアドロップ、DeFi、またはトークンクレームウェブサイトに誘導し、ウォレットを接続して悪質なリクエストまたは署名を承認するようにトリックします。
権限が付与されると、ドレイナーはトークン、NFT、またはその他のデジタル資産を被害者のウォレットから攻撃者が管理するウォレットに自動的に転送でき、多くの場合は数秒以内に、複数のブロックチェーン全体で行われます。
ドレイナー・アズ・ア・サービス
このモデルでは、オペレーターがドレイニングインフラストラクチャを開発・維持し、アフィリエイトが被害者をもたらします。アフィリエイトの仕事は、フィッシングリンク、偽のウェブサイト、侵害されたソーシャルメディアアカウント、広告、スパム、またはダイレクトメッセージを通じてトラフィックを生成することです。DaaSオペレーターはウォレットインタラクション、トランザクションロジック、アラート、およびアセットドレイニングフローを処理します。
Luciferのデータセットはこのモデルを明確に示しています。1つの宣伝投稿では、アクターはアフィリエイトが「フィッシングリンク、偽のウェブサイト、および同様の方法を通じたトラフィック」を提供し、サービスが「署名、承認、およびトークン転送」を管理すると説明しています。同じ投稿はサービスをコミッションベースとして説明し、Lucifer Drainerを「ERC20サポート、Permit2、オフチェーン署名、ウォレットセキュリティバイパス、マルチチェーンサポート、および継続的な製品更新」を備えた「プロフェッショナルソリューション」として提示しています。
その言語は重要です。オペレーターは1回限りのマルウェアキットを販売していません。彼らはプラットフォームへの参加を販売しています。
彼らのTelegramチャネルは同じポイントを強調しています。Luciferは繰り返しソフトウェアが「販売対象ではない」こと、およびオペレーターが成功した「ヒット」から20%の手数料を取ることを述べています。2025年5月、チャネルはソフトウェアを販売または賃貸していないこと、および「ヒットあたり20%」のみを分割することを書きました。
これは古い学派のランサムウェアアフィリエイトモデルの方が、古いフィッシングキットよりも近いです。開発者が製品を維持しながら、アフィリエイトが操作を収益化するためのトラフィックをもたらし、利益が共有されます。
ケーススタディとしてのLucifer
Luciferチャネルは、ドレイナー操作が構造化されたDaaSプラットフォームへと公開で進化していく様子を示しています。
2025年3月、グループはバージョン6.6.6を発表し、ERC20サポート、Permit2悪用、オフチェーン署名、Telegram通知、ウォレットセキュリティバイパス、およびマルチチェーン機能を宣伝しました。同じ発表は再びソフトウェアが販売対象ではなく、オペレーターが成功した「ヒット」から20%の手数料を取ることを強調しました。
その時点から、チャネルはますます一般的なマルウェア操作よりもソフトウェア開発フィードのように見えました。オペレーターはバグ修正、ウォレット互換性更新、Telegramブラウザサポート、デプロイメント改善、およびホスティング機能を発表しました。
最も注目すべき追加の1つは、アフィリエイトがフィッシングページをクローンし、最新のLuciferコードがプリロードされたZIPファイルを受け取ることを許可するウェブサイトクローニング機能でした。
時間が経つにつれて、操作は自動化に大きく移動しました。その後の更新では「ゼロコンフィグ」デプロイメントワークフローが導入され、アフィリエイトが静的ファイルをアップロードし、フィッシング対応パッケージを自動生成し、最小限の手動作業でインフラストラクチャをデプロイできるようになりました。これにより、アフィリエイトの技術的障壁が大幅に低下しました。
より広いデータセットはまた、Inferno、Angel、Venom、Nova、Ghost、Medusa、Vega、Monkeyなどの他のドレイナーブランドが議論されている地下コミュニティ全体でLuciferが積極的にリクルーティングしていることを示しています。投稿全体の繰り返されるテーマは「トラフィック」でした。オペレーターは、アフィリエイトが高度な技術スキルよりも被害者とフィッシング配布機能を必要とすることを繰り返し強調しました。
ただし、グループはまた、完全な初心者は歓迎されていないことを警告し、オペレーターが限られた運用オーバーヘッドで信頼できるフィッシングトラフィックを生成できる経験豊富なアフィリエイトを優先していることを示唆しました。
テイクダウン後のレジリエンス
他の地下サービスと同様に、Luciferもまた運用レジリエンスの兆候を示しています。
2025年8月、彼らのTelegramボットは禁止されたため、彼らはチャネル内のユーザーに新しいボットを作成し、管理者権限を付与するよう指示しました。グループはまた移行後の構成問題を解決するための指示を与えました。
2025年11月、Luciferは研究レポートの後、Google Firebaseでホストされているドキュメンテーションドメインが停止されたと述べました。グループはドキュメンテーションをInterPlanetary File System(IPFSは、分散型のピアツーピアファイル共有プロトコルでデータを保存・配布するために使用されます)に移動することで対応し、テイクダウン後に操作を実行し続けるための方法として分散化を提示しました。
これはより広いドレイナーエコシステム全体で見られるように見える行動を反映しています。Check Pointの「Inferno Drainer」に関する研究は、ウォレット警告、ブラックリスト、およびアンチフィッシング防御にもかかわらず、操作がどのように適応し続けたかを説明しました。
ドレイナーがサイバー犯罪者にとってなぜそれほど魅力的になったのか
ドレイナーは現代的な暗号犯罪の構造と一致するため、人気が出ました。
暗号資産は流動的で、急速に移動し、転送されると不可逆的なことが多いです。攻撃者はバンクポータルを侵害したり、ミュールアカウントを待つ必要はありません。成功したウォレット承認はすぐにアセットを「ドレイン」することができます。
彼らはまた、ユーザーの混乱から恩恵を受けます。ウォレットプロンプト、承認、署名、許可、およびトークン許容量は、多くのユーザーにとってまだ理解が難しいです。攻撃者は、悪質なプロンプトをルーティンなWeb3インタラクションのように見えるようにすることで、その複雑さを悪用します。
PermitおよびPermit2の認可メカニズムの悪用は、これらのメカニズムが明白な直接転送ではなく署名された権限を通じてトークン転送を許可できるため、特に魅力的になりました。これにより、ユーザーインタラクションはより安心に見えますが、それでも攻撃者にアセットへのパスを与えます。
Luciferを超えて
調査結果は、Luciferが、アフィリエイト、トラフィック、地下コミュニティ全体での可視性を争う操作および他のウォレット排水サービスを含む、はるかに広い地下エコシステムの一部であることを示唆しています。
分析されたLuciferデータセットは、現代的なDaaSオペレーションが舞台裏でどのように機能するかについてのまれな公開見方を提供します。収集された投稿は、継続的な開発、アフィリエイト保持、インフラストラクチャレジリエンス、自動化、および運用スケーラビリティに焦点を当てたエコシステムを明らかにしています。
調査結果はまた、現代的な暗号ドレイナー操作がますます正当なSaaS企業に似ていることを強調しています。静的なフィッシングキットを販売するのではなく、DaaSオペレーターは現在、デプロイメントを簡素化し、技術的障壁を低減し、アフィリエイト効率を最大化するために設計されたアクティブなプラットフォームを維持しています。
ウェブサイトクローニング、自動ZIPデプロイメント、「ゼロコンフィグ」ワークフロー、アフィリエイト手数料、およびサポートチャネルなどの機能は、エコシステム内での運用成熟度がいかに競争上の利点になったかを示しています。
暗号ドレイナーはもはや個々のアクターによって運営されている孤立したフィッシングページではなく、ますますスケーラビリティと再現性を中心に構築された構造化されたサービスプラットフォームです。これらのエコシステムがアフィリエイトの技術的障壁を低下させ続けるにつれて、ウォレット盗難操作はより多くアクセス可能になり、より自動化され、規模での中断がより困難になる可能性があります。
ウォレットが空になる前にクリプト・ドレイナーを見分ける方法
DaaSプラットフォームは、悪質なウォレットインタラクションを日常的に見せるために設計されています。何を探すべきかを知ることが最初の防御線です。暗号サイトにウォレットを接続する前に、これらの警告の兆候を注視してください:
-
暗号資産/NFT/エアドロップサイトで即座にウォレット接続がリクエストされます。
-
何かを受け取る前に、予期しない署名または「承認」リクエスト。
-
無制限のトークン承認またはPermit/Permit2権限のリクエスト。
-
それでもウォレット承認が必要な「ガスレスクレーム」または「オフチェーン署名」プロンプト。
-
偽の緊急性:「今すぐクレーム」、「ウォレット検証」、「限定ミント」、「期限切れ報酬」。
-
Telegram、Discord、X/Twitter DM、または偽のサポートアカウントを通じて受け取ったリンク。
-
最近作成された、または疑わしく見える暗号ドメイン。
-
正当なDeFi、NFT、または取引所プラットフォームからクローンされたウェブサイト。
-
ウォレットプロンプトに到達する前の複数のリダイレクト。
-
ウォレット警告が無視または迂回されます。
-
大きな保有量を持つメインウォレットを未知のWeb3サイトに使用。
-
トランザクションを再接続または再署名するための繰り返されたプロンプト。
-
インフルエンサーまたはプロジェクトアカウントが突然予期しないミント/クレームリンクをプッシング。
-
ブラウザタブが新しいウォレット承認ウィンドウを自動的に開く。
-
トランザクション詳細が曖昧、空、または理解しにくい。
-
最初に承認を必要とする「無料NFT」または「無料トークン」キャンペーン。
-
DiscordまたはTelegramの管理者が最初にユーザーにプライベートメッセージを送信。
-
ウォレットセキュリティ保護を無効にするようにユーザーに要求するウェブサイト。
-
メッセージに署名した直後にウォレットがドレインされます。
-
正当性を確認する前に行動を強制するプラットフォーム。
Flareはどのように役に立つか
Flareは、詐欺操作が被害者に到達する前にそれらについての早期の可視性を提供します。地下フォーラム、Telegramチャネル、およびマーケットプレイスを監視することにより、Flareは漏洩したデータ、被害者リスト、およびCaller-as-a-Serviceキャンペーンに関連した採用活動を検出します。
これにより、組織は攻撃者がストライクする前に積極的に対応し(認証情報をリセット、ユーザーに警告、防御を強化)、リスクと影響の両方を削減できます。
