O campanie de phishing la scară largă denumită „PoisonSeed” compromite conturile corporative de marketing prin e-mail pentru a distribui e-mailuri care conțin fraze seed crypto (crypto seed phrase) folosite pentru a goli portofelele criptomonede raportează BleepingComputer.
O frază seed crypto (crypto seed phrase) este o secvență de cuvinte aleatorii care stochează datele necesare pentru a accesa sau recupera criptomonede. Frazele seed sunt generate de portofelele crypto și sunt cruciale pentru siguranța activelor digitale. Este esențial să păstrați o frază seed în siguranță și privată, deoarece poate fi folosită pentru a recâștiga accesul la un portofel crypto.
Potrivit SilentPush, campania vizează Coinbase și Ledger folosind conturi compromise la Mailchimp, SendGrid, HubSpot, Mailgun și Zoho.
Cercetătorii leagă campania de incidente recente, cum ar fi cazul compromiterii contului Mailchimp al lui Troy Hunt de la sfârșitul lunii trecute și un hack al contului Akamai SendGrid, raportat de BleepingComputer la jumătatea lunii martie 2025, în care contul legitim a fost folosit pentru a trimite e-mailuri de tip phishing Coinbase.
Deși campania PoisonSeed are asemănări cu operațiunile atacatorilor CryptoChameleon și Scattered Spider, Silent Push o clasifică separat din cauza diferențelor de cod și a altor factori de diferențiere.
Primul pas în atac este identificarea țintelor de mare valoare cu acces la CRM și platforme de e-mail în bloc. Acest lucru se poate face verificând ce folosesc companiile de e-mail pentru buletinele lor informative sau de marketing și găsirea angajaților în posturi similare.
Apoi, îi vizează prin e-mailuri de phishing create profesional, trimise de la adrese falsificate, ducându-i către pagini de conectare false găzduite pe domenii denumite cu atenție pentru a părea legitime.
De exemplu, în e-mailurile care vizează clienții MailChimp, atacatorii au folosit domeniile mail-chimpservices[.]com, mailchimp-sso[.]com și mailchimp-ssologin[.]com.
Odată ce le sunt furate acreditările, atacatorii exportă liste de corespondență și generează noi chei API pentru a menține accesul la contul deturnat chiar dacă victima își schimbă rapid parola.
Atacatorul folosește apoi contul compromis pentru a trimite spam de tip phishing pe listele de corespondență extrase cu alerte care determină acțiunea destinatarului, cum ar fi „Coinbase trece la portofelele cu auto-custodie”.
E-mailul de phishing include o frază seed pentru portofelul Coinbase, care îi spune utilizatorului să o introducă într-un nou portofel crypto, ca parte a unui upgrade sau a unei migrări. Dacă victima urmează această instrucțiune și își transferă bunurile în ea, în esență își „otrăvește” portofelele, permițând actorilor amenințări să le acceseze și să le golească.
Acest lucru se datorează faptului că, atunci când creează un nou portofel, victima nu folosește o expresie seed sigură, pregenerată de la companie (Coinbase), așa cum i se face să creadă, ci o folosește pentru un portofel aflat deja sub controlul atacatorilor.
Transferarea criptomonelor în acel portofel înseamnă, practic, predarea tuturor activelor digitale atacatorului, care poate apoi transfera fondurile.
Cel mai bun mod de a face față solicitărilor urgente care sosesc prin e-mail este să le ignorați și să vă conectați independent (nu făcând clic pe linkurile încorporate) la platforma revendicată și să verificați dacă există alerte în așteptare pentru contul dvs.
Utilizatorii portofelului de criptomonede nu ar trebui să folosească niciodată o expresie seed furnizată de altcineva, deoarece o platformă legitimă nu va trimite niciodată o frază seed pregenerată. Utilizatorii ar trebui să-și genereze întotdeauna propriile fraze seed atunci când creează un portofel nou și să nu le partajeze cu nimeni altcineva.
