Специалисты по кибербезопасности из компании SilentPush обнаружили масштабную фишинговую кампанию PoisonSeed, нацеленную на пользователей криптовалютных сервисов. Злоумышленники используют сложную многоступенчатую схему атаки, включающую компрометацию корпоративных учетных записей популярных платформ email-маркетинга.
Механизм атаки: От компрометации маркетинговых платформ до кражи криптовалюты
Хакеры начинают с идентификации сотрудников, имеющих доступ к CRM-системам и платформам массовых рассылок, таким как Mailchimp, SendGrid, HubSpot, Mailgun и Zoho. После выявления потенциальных жертв злоумышленники проводят целенаправленные фишинговые атаки, используя тщательно замаскированные поддельные домены (например, mail-chimpservices[.]com) для имитации легитимных сервисов.
Техническая реализация и масштаб угрозы
После успешной компрометации учетных данных атакующие предпринимают ряд технических мер для закрепления в системе: экспортируют списки рассылки и генерируют новые API-ключи. Это позволяет им сохранять доступ к скомпрометированным аккаунтам даже после смены паролей жертвами. Кампания уже затронула крупные организации, включая список рассылки основателя Have I Been Pwned Троя Ханта и аккаунт Akamai в SendGrid.
Особенности фишинговых писем и механизм обмана
Используя захваченные учетные записи, злоумышленники рассылают фишинговые письма, преимущественно targeting пользователей Coinbase и Ledger. Особую опасность представляет использование готовых seed-фраз — злоумышленники предлагают жертвам ввести предоставленную seed-фразу в якобы новый криптокошелек, получая таким образом полный контроль над средствами пользователей.
Рекомендации по защите
Для защиты от подобных атак специалисты рекомендуют следовать базовым правилам безопасности при работе с криптовалютными активами: никогда не использовать сторонние seed-фразы, помнить, что легитимные платформы никогда не рассылают готовые seed-фразы по email, и всегда генерировать собственные ключевые фразы при создании новых кошельков. Особое внимание следует уделить защите корпоративных учетных записей в маркетинговых платформах, используя многофакторную аутентификацию и регулярно проверяя активность API-ключей.
