Een kwaadaardige campagne nagesynchroniseerd Gifzaad gebruikt gecompromitteerde referenties geassocieerd met CRM -tools voor klantrelatiebeheer (CRM) en bulk -e -mailproviders om spamberichten te verzenden die cryptocurrency zaadzinnen bevatten in een poging de digitale portefeuilles van slachtoffers af te voeren.
“Ontvangers van de bulkspam zijn het doelwit van een cryptocurrency zaadzin vergiftigingaanval,” zei Silent Push in een analyse. “Als onderdeel van de aanval biedt Poisonseed beveiligingszaadzinnen om potentiële slachtoffers ertoe te brengen ze te kopiëren en in nieuwe cryptocurrency -portefeuilles te plakken voor toekomstig compromittatie.”
Doelstellingen van vergifeed zijn onder meer bedrijfsorganisaties en personen buiten de cryptocurrency -industrie. Crypto -bedrijven zoals Coinbase en Ledger, en bulk -e -mailaanbieders zoals MailChimp, SendGrid, HubSpot, Mailgun en Zoho behoren tot de beoogde crypto -bedrijven.
De activiteit wordt beoordeeld als onderscheiden van twee losjes uitgelijnde dreigingsacteurs verspreide spin en cryptochameleon, die beide deel uitmaken van een breder cybercriminaliteit ecosysteem genaamd de COM. Sommige aspecten van de campagne werden eerder bekendgemaakt door beveiligingsonderzoeker Troy Hunt en Bleeping Computer vorige maand.
De aanvallen omvatten de dreigingsacteurs die op zoek zijn naar lookalike phishing-pagina’s voor prominente CRM- en bulk-e-mailbedrijven, waardoor ze doelarme doelen te misleiden om hun referenties te verstrekken. Zodra de inloggegevens zijn verkregen, gaan de tegenstanders verder met het maken van een API -sleutel om doorzettingsvermogen te garanderen, zelfs als het gestolen wachtwoord wordt gereset door de eigenaar.
In de volgende fase exporteren de operators mailinglijsten waarschijnlijk met behulp van een geautomatiseerde tool en verzenden spam van die gecompromitteerde accounts. De spam-berichten na CRM-CRM-Compromise informeren gebruikers dat ze een nieuwe Coinbase-portemonnee moeten instellen met behulp van de zaadzin ingebed in de e-mail.
Het einddoel van de aanvallen is om dezelfde herstelzin te gebruiken om de accounts te kapen en fondsen van die portefeuilles over te brengen. De links naar verspreide spin en cryptochameleon komen voort uit het gebruik van een domein (“MailChimp-sso (.) Com”) die eerder is geïdentificeerd zoals gebruikt door de eerste, evenals de historische targeting van Coinbase en Ledger van Cryptochameleon.
Dat gezegd hebbende, de phishing -kit die door Poisonseed wordt gebruikt, deelt geen gelijkenis met die welke worden gebruikt door de andere twee dreigingsclusters, waardoor de mogelijkheid wordt verhoogd dat het ofwel een gloednieuwe phishing -kit is van Cryptochameleon of het is een andere dreigingsacteur die toevallig vergelijkbaar tradecraft gebruikt.
De ontwikkeling komt als een Russisch sprekende dreigingsacteur is waargenomen met behulp van phishing-pagina’s gehost op CloudFlare Pages.DEV en Workers.DEV om malware te leveren die op afstand geïnfecteerde Windows-hosts kunnen bedienen. Een eerdere iteratie van de campagne bleek ook de Stealc Information Stealer te hebben verspreid.
“Deze recente campagne maakt gebruik van cloudflare-merk phishing-pagina’s met thema DMCA (Digital Millennium Copyright Act) Takedown-kennisgevingen geserveerd in meerdere domeinen,” zei Hunt.io.
“Het kunstaas misbruikt het MS-Search-protocol om een kwaadaardig LNK-bestand te downloaden dat vermomd is als een PDF via een dubbele extensie. Eenmaal uitgevoerd, checkt de malware in met een aanvaller-geëxploiteerde telegram-bot die het IP-adres van het slachtoffer-adres bevat-overgang naar Pyramid C2 om de geïnfecteerde host te besturen.”
