Una dintre cele mai ample campanii de phishing, denumită ‘PoisonSeed’, compromite conturile de marketing prin email ale companiilor pentru a distribui emailuri care conțin fraze de semințe criptografice folosite pentru a goi portofelele de criptomonede.
Potrivit SilentPush, campania vizează Coinbase și Ledger folosind conturi compromise la Mailchimp, SendGrid, HubSpot, Mailgun și Zoho.
Cercetătorii asociază campania cu incidente recente, cum ar fi cazul compromiterii contului Mailchimp al lui Troy Hunt de la sfârșitul lunii trecute și un hack al contului SendGrid al Akamai raportat de BleepingComputer în mijlocul lunii martie 2025, unde contul legit a fost folosit pentru a trimite emailuri de phishing cu fraze de semințe Coinbase.
Deși campania PoisonSeed prezintă similarități cu operațiunile actorilor de amenințare CryptoChameleon și Scattered Spider, Silent Push o categorizează separat datorită diferențelor de cod și altor factori de diferențiere.
Primul pas în atac este identificarea țintelor de mare valoare cu acces la CRM și platforme de email în masă. Acest lucru poate fi realizat verificând ce companii de email folosesc pentru buletinele informative sau marketing și găsind angajați în poziții relevante.
În continuare, aceștia îi vizează cu emailuri de phishing create profesional trimise de adrese falsificate, conducându-i către pagini de autentificare false găzduite pe domenii cu nume atent alese pentru a părea legitime.
De exemplu, în emailurile care vizează clienții MailChimp, actorii de amenințare au folosit domeniile mail-chimpservices[.]com, mailchimp-sso[.]com și mailchimp-ssologin[.]com.
Odată ce credențialele lor sunt furate, atacatorii exportă listele de corespondență și generează noi chei API pentru a menține accesul la contul capturat chiar dacă victima își schimbă rapid parola.
Atacatorul folosește apoi contul compromis pentru a trimite spam de phishing cu tematică criptografică către listele de corespondență extrase cu alerte care îi determină pe destinatari să acționeze, cum ar fi ‘Coinbase trece la portofele de auto-custodie.’
Emailul de phishing include o frază de semințe Coinbase, spunând utilizatorului să o introducă într-un nou portofel criptografic ca parte a unei actualizări sau migrații. Dacă victima urmează această instrucțiune și își transferă activele în el, practic ‘otrăvește’ portofelele, permițând actorilor de amenințare să le acceseze și să le golească.
Aceasta se întâmplă pentru că, la crearea unui portofel nou, victima nu folosește o frază de semințe sigură, pre-generată de companie (Coinbase) așa cum li se face să creadă, ci folosește una pentru un portofel deja sub controlul atacatorilor.
Transferându-și criptomoneda în acel portofel înseamnă practic a-și preda toate activele digitale atacatorului, care poate apoi transfera fondurile afară.
Cel mai bun mod de a gestiona solicitările urgente primite prin email este să le ignorați și să vă autentificați independent (fără a da clic pe link-urile încorporate) pe platforma pretinsă și să verificați dacă există alerte în așteptare pentru contul dvs.
Utilizatorii de portofele de criptomonede nu ar trebui niciodată să folosească o frază de semințe furnizată de altcineva, deoarece o platformă legitimă nu va trimite niciodată o frază de semințe pre-generată. Utilizatorii ar trebui să-și genereze întotdeauna propriile fraze de semințe la crearea unui portofel nou și să nu le împărtășească niciodată cu altcineva.
Bazat pe o analiză a 14M de acțiuni malitioase, descoperiți cele mai bune 10 tehnici MITRE ATT&CK din spatele a 93% din atacuri și cum să vă apărați împotriva lor.
Emailul de phishing Coinbase păcălește utilizatorii cu migrație falsă de portofel
Hackerul fură un record de 1.46 miliarde dolari din portofelul rece ETH Bybit
Aplicații care fura criptomonede găsite în App Store-ul Apple pentru prima dată
Platforma de phishing ‘Lucid’ din spatele valului de atacuri SMS iOS, Android
Hackerii nord-coreeni adoptă atacurile ClickFix pentru a viza firmele de criptomonede
Leave a Reply