Rosszindulatú kampány hamis pénztárca-vetőfrázisokat terjeszt feltört levelezőlistákon keresztül

Rosszindulatú kampány hamis pénztárca-vetőfrázisokat terjeszt feltört levelezőlistákon keresztül

A fenyegetéselemzők egy kifinomult, kétirányú rosszindulatú kampányt fedeztek fel, amely a kriptoiparon belüli és kívüli áldozatokat célozza meg.

A Silent Push kibernetikai hírszerző cég egy nemrégiben készült jelentésében azonosította a PoisonSeed rosszindulatú szoftverkampányt, amely kezdetben a tömeges e-mail szolgáltatók, köztük a Mailchimp és a SendGrid felhasználóit veszi célba.

Az egyik esetben egy tartalomkészítőnek csalárd üzenetet küldtek, amely azt állította, hogy a fiókját korlátozták - és egy hamis, de "pixel-tökéletes" weboldalon keresztül rávették, hogy adja meg a bejelentkezési adatait.

Innen tömegesen töltötték le a levelezési listáikat, egy olyan folyamat során, amelyet a Silent Push "rendkívül gyorsnak és valószínűleg automatizáltnak" ír le.

A következő lépésben a gyanútlan feliratkozóknak a Coinbase kriptotőzsdétől származónak mondott e-maileket küldenek, amelyekben azt állítják, hogy a tőzsde "átáll az önmegőrző pénztárcákra".

Egy 12 szavas magvető kifejezést adnak meg, amelyet az átverés áldozatainak azt mondják, hogy importálják a számlájukra - de ezzel a rosszindulatú szereplők szabadon lecsapolhatják az összes kriptót a tárcájukból.

Az egyik érintett Mailchimp-ügyfél, a Microsoft regionális igazgatója, Troy Hunt elmondta, hogy akkor kapta az adathalász e-mailt, amikor "nagyon jetlaggel és nagyon fáradt volt", így sebezhetővé vált.

Bár a bejelentkezési adatainak megadása után azonnal rájött, hogy valami nincs rendben - és azonnal megváltoztatta a jelszavát -, a levelezési listát már exportálták.

"Most újraolvasva, ez egy nagyon jól kidolgozott adathalászat" - írta Hunt. "Társadalmi tervezéssel elhitette velem, hogy nem tudom majd elküldeni a hírlevelemet, így "félelmet" váltott ki, de nem volt minden csupa csengő és síp, hogy valami szörnyűség történik, ha nem teszek azonnali lépéseket. Pontosan a megfelelő mennyiségű sürgősséget teremtette meg anélkül, hogy túlzásba vitte volna."

A Silent Push közölte, hogy a PoisonSeed-et a két "lazán összehangolt fenyegető szereplőtől", a Scattered Spider-től és a CryptoChameleon-tól külön kezeli - annak ellenére, hogy ezek a kampányok hasonló adathalász-domaineket használnak, és a múltban a Coinbase és a Ledger felhasználóit vették célba.

Ez kijózanítóan szemlélteti, hogy nem csak a fogyasztóknak kell ébernek lenniük a social engineering csalásokkal szemben, hanem a hírleveleik nagy közönséggel rendelkező tartalomkészítőknek is.

Via: Decrypt