Исследователи рассказали о масштабной фишинговой кампании PoisonSeed. Злоумышленники взламывают корпоративные учетные записи для email-маркетинга и от лица взломанных аккаунтов Mailchimp, SendGrid, HubSpot, Mailgun и Zoho рассылают мошеннические письма.
Как пишут эксперты компании SilentPush, в основном такие атаки направлены на пользователей Coinbase и Ledger. Кроме того, кампания может быть связана с недавней фишинговой атакой на основателя агрегатора утечек Have I Been Pwned Троя Ханта (Troy Hunt), в результате которой был скомпрометирован список рассылки Mailchimp, а также со взломом аккаунта Akamai в SendGrid.
В рамках кампании PoisonSeed хакеры сначала выявляют жертв, имеющих доступ к CRM и email-платформам для массовых рассылок. Это можно сделать, проверив, какую электронную почту используют компании для своих рассылок и маркетинга, и найдя сотрудников на соответствующих должностях.
Затем эти люди подвергаются целенаправленным фишинговым атакам: письма отправляются с поддельных адресов, а ссылки в них ведут на фальшивые страницы входа, которые тщательно замаскированы, чтобы казаться легитимными. К примеру, в письмах, адресованных клиентам MailChimp, злоумышленники использовали домены mail-chimpservices[.]com, mailchimp-sso[.]com и mailchimp-ssologin[.]com.
Если атака удалась и учетные данные получены, злоумышленники экспортируют списки рассылки и генерируют новые API-ключи, чтобы сохранить доступ к взломанному аккаунту, даже если жертва быстро сменит пароль.
Затем взломанная учетная запись используется для массовой рассылки фишинговых писем на криптовалютную тематику, в которых пользователям сообщают, что им нужно срочно выполнить определенные действия.
К примеру, в посланиях может содержаться уже готовая seed-фраза для кошелька Coinbase, и пользователю предлагается ввести ее в новый криптокошелек в рамках обновления или миграции. Если человек последует этой инструкции и переведет деньги в новый кошелек с новой seed-фразой, по сути, он предоставит злоумышленникам доступ ко всем своим средствам.
Эксперты напоминают, что пользователи криптокошельков ни при каких обстоятельствах не должны использовать сторонние seed-фразы, и ни одна серьезная платформа не станет рассылать клиентам письма с заранее сгенерированными seed-фразами. Пользователям следует генерировать собственные seed-фразы при создании кошельков и не раскрывать их другим людям.
