Μια εκστρατεία μεγάλης κλίμακας phishing που ονομάζεται «PoisonSeed» συμβιβασμούς εταιρικών λογαριασμών μάρκετινγκ ηλεκτρονικού ταχυδρομείου για τη διανομή μηνυμάτων ηλεκτρονικού ταχυδρομείου που περιέχουν φράσεις κρυπτογράφησης που χρησιμοποιούνται για την αποστράγγιση των πορτοφολιών κρυπτογράφησης.
Σύμφωνα στο SilentPushη καμπάνια στοχεύει στο Coinbase και στο Ledger χρησιμοποιώντας συμβιβασμένους λογαριασμούς σε MailChimp, Sendgrid, HubSpot, MailGun και Zoho.
Οι ερευνητές συνδέουν την εκστρατεία με πρόσφατα περιστατικά, όπως η περίπτωση του Λογαριασμός Mailchimp του Troy Hunt Ο συμβιβασμός από τα τέλη του περασμένου μήνα και ένας λογαριασμός Akamai Sendgrid Hack BleepingComputer αναφέρθηκε στα μέσα Μαρτίου 2025, όπου χρησιμοποιήθηκε ο νόμιμος λογαριασμός για την αποστολή ηλεκτρονικών μηνυμάτων ηλεκτρονικού ταχυδρομείου ψαρέματος σπόρου Coinbase.
Παρόλο που η εκστρατεία PoisonSeed μοιράζεται ομοιότητες με επιχειρήσεις από τον κρυπτοεμαχιωρό και τους διάσπαρτους ηθοποιούς απειλής αράχνης, η Silent Push κατηγοριοποιεί ξεχωριστά λόγω διαφορών κώδικα και άλλων παραγόντων διαφοροποίησης.
PoisonSeed Attack Chain
Το πρώτο βήμα της επίθεσης είναι να εντοπιστούν στόχοι υψηλής αξίας με πρόσβαση σε πλατφόρμες ηλεκτρονικού ταχυδρομείου CRM και χύδην. Αυτό μπορεί να γίνει ελέγχοντας τι χρησιμοποιούν οι εταιρείες ηλεκτρονικού ταχυδρομείου για τα ενημερωτικά δελτία τους ή το μάρκετινγκ και την εξεύρεση υπαλλήλων σε σχετικές θέσεις.
Στη συνέχεια, τους στοχεύουν με επαγγελματικά κατασκευασμένα μηνύματα ηλεκτρονικού “ψαρέματος” phishing που αποστέλλονται από πλαστογραφημένες διευθύνσεις, μεταφέροντας τα σε ψεύτικες σελίδες σύνδεσης που φιλοξενούνται σε προσεκτικά ονομασμένους τομείς για να εμφανιστούν νόμιμοι.
Για παράδειγμα, σε μηνύματα ηλεκτρονικού ταχυδρομείου που στοχεύουν τους πελάτες MailChimp, οι ηθοποιοί απειλής χρησιμοποίησαν τους τομείς αλληλογραφίας-chimpservices[.]com, mailchimp-so[.]com και mailchimp-ssologin[.]com.
Πηγή: SilentPush
Μόλις κλαπούν τα διαπιστευτήριά τους, οι επιτιθέμενοι εξάγουν λίστες αλληλογραφίας και δημιουργούν νέα κλειδιά API για να διατηρήσουν την πρόσβαση στον λογαριασμό των αεροπειρατειών, ακόμη και αν το θύμα αλλάξει γρήγορα τον κωδικό πρόσβασής του.
Ο επιτιθέμενος χρησιμοποιεί έπειτα τον συμβιβασμένο λογαριασμό για να στείλει κρυπτογραφημένα spam phishing με κρυπτογράφηση στις λίστες εξαγόμενης αλληλογραφίας με ειδοποιήσεις που προωθούν τη δράση του παραλήπτη, όπως το «coinbase μετατρέπεται σε αυτοκατοικημένα πορτοφόλια».
Το ηλεκτρονικό ταχυδρομείο ηλεκτρονικού “ψαρέματος” περιλαμβάνει μια φράση σπόρου πορτοφολιού Coinbase, λέγοντας στον χρήστη να το εισαγάγει σε ένα νέο πορτοφόλι κρυπτογράφησης ως μέρος μιας αναβάθμισης ή μετανάστευσης. Εάν το θύμα ακολουθεί αυτή την εντολή και μεταφέρει τα περιουσιακά τους στοιχεία σε αυτό, ουσιαστικά «δηλητηριάζουν» τα πορτοφόλια τους, επιτρέποντας στους απειλούς να έχουν πρόσβαση και να τους αποστραγγίζουν.
Πηγή: SilentPush
Αυτό οφείλεται στο γεγονός ότι, κατά τη δημιουργία ενός νέου πορτοφολιού, το θύμα δεν χρησιμοποιεί μια ασφαλή, προ-παραγόμενη φράση σπόρων από την εταιρεία (Coinbase), όπως γίνονται να πιστεύουν, αλλά να χρησιμοποιούν ένα για ένα πορτοφόλι ήδη υπό τον έλεγχο των επιτιθέμενων.
Η μεταφορά της κρυπτογράφησης σε αυτό το πορτοφόλι παραδίδει βασικά όλα τα ψηφιακά περιουσιακά τους στοιχεία στον επιτιθέμενο, ο οποίος μπορεί στη συνέχεια να μεταφέρει τα κεφάλαια.
Ο καλύτερος τρόπος αντιμετώπισης των επείγουσων αιτημάτων που φτάνουν μέσω ηλεκτρονικού ταχυδρομείου είναι να τα αγνοήσετε και ανεξάρτητα (όχι κάνοντας κλικ στους ενσωματωμένους συνδέσμους) συνδεθείτε στην πλατφόρμα που απαιτείται και ελέγξτε εάν υπάρχουν εκκρεμείς ειδοποιήσεις για το λογαριασμό σας.
Οι χρήστες πορτοφολιών κρυπτογράφησης δεν πρέπει ποτέ να χρησιμοποιούν μια φράση σπόρου που παρέχεται από κάποιον άλλο, καθώς μια νόμιμη πλατφόρμα δεν θα στείλει ποτέ μια προ-παραγόμενη φράση σπόρων. Οι χρήστες θα πρέπει πάντα να παράγουν τις δικές τους φράσεις σπόρων κατά τη δημιουργία ενός νέου πορτοφολιού και ποτέ δεν τους μοιράζονται με κανέναν άλλο.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
