Nos últimos anos, as operações de roubo de criptomoedas evoluíram muito além de páginas de phishing isoladas e golpes falsos de mint de NFT. O que antes consistia principalmente em atores individuais operando páginas maliciosas de conexão de carteiras, desenvolveu-se cada vez mais em uma economia de serviços subterrânea estruturada em torno de plataformas de "Drainer-as-a-Service" (DaaS). Ao contrário das operações de malware tradicionais, os drainers de criptomoedas geralmente dependem de engenharia social em vez de comprometimento de dispositivos. As vítimas são atraídas para sites falsos de criptomoedas, NFTs, airdrops ou DeFi e solicitadas a conectar suas carteiras. Uma vez que uma transação maliciosa ou assinatura de carteira é aprovada, o drainer pode transferir ativos de criptomoedas diretamente da carteira da vítima, muitas vezes em segundos. Uma análise conduzida por pesquisadores da **Flare** de aproximadamente 700 postagens coletadas de fóruns, chats e canais underground relacionados ao "Lucifer DaaS" entre janeiro de 2025 e o início de 2026 fornece uma visão rara de como as operações modernas de drainer funcionam internamente. As descobertas revelam um ecossistema cada vez mais profissionalizado focado no crescimento de afiliados, automação, escalabilidade de phishing, contornos de segurança de carteiras e resiliência operacional. Os dados analisados sugerem que as operações modernas de drainer funcionam cada vez mais de forma semelhante a negócios SaaS legítimos. Atores por trás do Lucifer discutiram lançamentos de software, correções de bugs, comissões de afiliados, suporte ao cliente, recomendações de hospedagem, automação de implantação, clonagem de sites e sistemas de referência, oferecendo um mergulho profundo em como os ecossistemas DaaS estão evoluindo dentro das comunidades underground. ## O que é um Drainer e Como Funciona Um drainer de criptomoedas é uma ferramenta projetada para roubar ativos de criptomoedas diretamente das carteiras das vítimas, abusando das permissões da carteira e das aprovações de transações. Em vez de hackear a carteira em si, os atacantes geralmente atraem vítimas para sites falsos de criptomoedas, NFTs, airdrops, DeFi ou reivindicação de tokens e as enganam para conectar suas carteiras e aprovar solicitações ou assinaturas maliciosas. Uma vez que a permissão é concedida, o drainer pode transferir automaticamente tokens, NFTs ou outros ativos digitais da carteira da vítima para carteiras controladas pelo atacante, muitas vezes em segundos e em várias blockchains.  ## Drainer-as-a-Service Neste modelo, o operador desenvolve e mantém a infraestrutura de drenagem, enquanto os afiliados trazem as vítimas. O trabalho do afiliado é gerar tráfego através de links de phishing, sites falsos, contas de mídia social comprometidas, anúncios, spam ou mensagens diretas. O operador DaaS lida com a interação da carteira, lógica de transação, alertas e fluxo de drenagem de ativos. O conjunto de dados do Lucifer mostra este modelo claramente. Em uma postagem promocional, o ator explica que os afiliados fornecem "tráfego através de links de phishing, sites falsos e métodos semelhantes", enquanto o serviço gerencia "assinaturas, aprovações e transferências de tokens". A mesma postagem descreve o serviço como baseado em comissão e apresenta o Lucifer Drainer como uma "solução profissional" com suporte ERC20, Permit2, assinaturas off-chain, contornos de segurança de carteiras, suporte multichain e atualizações contínuas do produto.  Essa linguagem é importante. Os operadores não estão vendendo um kit de malware único. Eles estão vendendo participação em uma plataforma.  Seu canal no Telegram reforça o mesmo ponto. Lucifer afirma repetidamente que o software "não está à venda" e que os operadores recebem uma comissão de 20% dos "acertos" bem-sucedidos. Em maio de 2025, o canal escreveu que não vende nem aluga o software e apenas divide "20% por acerto". Isso está mais próximo do modelo de afiliação de ransomware do que dos kits de phishing da velha guarda. Enquanto os desenvolvedores mantêm o produto, os afiliados trazem tráfego para monetizar a operação e os lucros são compartilhados. ## Lucifer como Estudo de Caso O canal Lucifer mostra uma operação de drainer evoluindo publicamente para uma plataforma DaaS estruturada.  Em março de 2025, o grupo anunciou a versão 6.6.6, anunciando suporte ERC20, abuso de Permit2, assinaturas off-chain, notificações do Telegram, contornos de segurança de carteiras e funcionalidade multichain. O mesmo anúncio enfatizou novamente que o software não estava à venda e que os operadores recebem uma comissão de 20% dos "acertos" bem-sucedidos. A partir daí, o canal passou a se assemelhar cada vez mais a um feed de desenvolvimento de software do que a uma operação típica de malware. Os operadores anunciaram correções de bugs, atualizações de compatibilidade de carteiras, suporte Telegram-browser, melhorias de implantação e recursos de hospedagem. Uma das adições mais notáveis foi um recurso de clonagem de sites que permitia aos afiliados clonar páginas de phishing e receber arquivos ZIP pré-carregados com o código Lucifer mais recente. Com o tempo, a operação migrou fortemente para a automação. Atualizações posteriores introduziram fluxos de trabalho de implantação "Zero Config", permitindo que os afiliados carregassem arquivos estáticos, gerassem automaticamente pacotes prontos para phishing e implantassem a infraestrutura com o mínimo de trabalho manual. Isso reduziu significativamente a barreira técnica para os afiliados.  O conjunto de dados mais amplo também mostra o Lucifer recrutando ativamente em comunidades underground onde outras marcas de drainer como Inferno, Angel, Venom, Nova, Ghost, Medusa, Vega e Monkey eram discutidas. Um tema recorrente em todas as postagens era "tráfego". Os operadores enfatizaram repetidamente que os afiliados precisavam de vítimas e capacidades de distribuição de phishing mais do que habilidades técnicas avançadas. No entanto, o grupo também alertou que iniciantes completos não eram bem-vindos, sugerindo que os operadores priorizavam afiliados experientes capazes de gerar tráfego de phishing confiável com sobrecarga operacional limitada. ## Resiliência Após Desativações Assim como outros serviços underground, o Lucifer também mostra sinais de resiliência operacional. Em agosto de 2025, seus bots do Telegram foram banidos, então eles instruíram os usuários em seu canal a criar novos bots e conceder-lhes privilégios de administrador. O grupo também deu instruções para resolver problemas de configuração após a migração. Em novembro de 2025, o Lucifer disse que um domínio de documentação hospedado no **Google Firebase** havia sido suspenso após relatórios de pesquisa. O grupo respondeu movendo a documentação para o **InterPlanetary File System (IPFS)** (um protocolo descentralizado de compartilhamento de arquivos peer-to-peer usado para armazenar e distribuir dados), apresentando a descentralização como uma forma de manter as operações em funcionamento após as desativações. Isso espelha o comportamento visto em todo o ecossistema de drainers. A pesquisa da **Check Point** sobre "Inferno Drainer" descreveu como a operação continuou se adaptando apesar de avisos de carteiras, listas negras e defesas anti-phishing. ## Por que os Drainers se Tornaram Tão Atraentes para Cibercriminosos Os drainers se tornaram populares porque correspondem à estrutura do crime moderno de criptomoedas. Os ativos de criptomoedas são líquidos, de movimentação rápida e frequentemente irreversíveis após a transferência. Os atacantes não precisam comprometer um portal bancário ou esperar por uma conta de mula. Uma aprovação de carteira bem-sucedida pode "drenar" ativos imediatamente. Eles também se beneficiam da relativa imaturidade da segurança de criptomoedas em comparação com as finanças tradicionais. À medida que plataformas DaaS como o Lucifer continuam a evoluir, profissionais de segurança e usuários de criptomoedas devem permanecer vigilantes contra essas ameaças cada vez mais sofisticadas.