Команда дослідників кібербезпеки SilentPush виявила нову масштабну фішингову кампанію під назвою PoisonSeed, яка становить серйозну загрозу для користувачів криптовалютних платформ. Особливість атаки полягає у використанні складної багаторівневої схеми, що починається з компрометації корпоративних облікових записів популярних сервісів email-маркетингу.
Складна схема атаки: від корпоративного фішингу до криптовалютного шахрайства
Зловмисники застосовують витончену тактику, спрямовану на співробітників з доступом до маркетингових платформ, включаючи Mailchimp, SendGrid, HubSpot та інші. Використовуючи ретельно підроблені домени (наприклад, mail-chimpservices[.]com), хакери проводять цільові фішингові атаки для отримання облікових даних корпоративних користувачів.
Технічні особливості та масштаб загрози
Після успішного злому зловмисники виконують серію технічних дій для закріплення в системі: експортують бази контактів та створюють нові API-ключі. Цей підхід забезпечує збереження доступу навіть після зміни паролів жертвами. Серед постраждалих – відомі організації та особистості, включаючи засновника Have I Been Pwned Троя Ханта та корпоративний акаунт Akamai в SendGrid.
Механізм обману користувачів криптовалютних сервісів
Використовуючи скомпрометовані облікові записи, атакуючі розсилають фішингові листи користувачам Coinbase та Ledger. Головною особливістю атаки є використання попередньо згенерованих seed-фраз, які жертвам пропонується ввести в нібито новий криптогаманець. Така схема дозволяє зловмисникам отримати повний контроль над криптовалютними активами користувачів.
Рекомендації щодо захисту від PoisonSeed
Для захисту від атак типу PoisonSeed критично важливо дотримуватися базових правил безпеки при роботі з криптовалютою: ніколи не використовувати сторонні seed-фрази, пам’ятати, що легітимні сервіси не надсилають готові seed-фрази електронною поштою, та завжди самостійно генерувати ключові фрази при створенні нових гаманців. Організаціям рекомендується посилити захист корпоративних облікових записів у маркетингових платформах шляхом впровадження багатофакторної автентифікації та регулярного моніторингу активності API-ключів.
