{"id":1658447,"date":"2025-04-07T10:40:30","date_gmt":"2025-04-07T10:40:30","guid":{"rendered":"https:\/\/teknomers.com\/es\/explotacion-de-envenenamiento-cuentas-crm-para-lanzar-ataques-de-envenenamiento-por-frase-de-semillas-de-criptomonedas\/"},"modified":"2025-04-07T10:40:35","modified_gmt":"2025-04-07T10:40:35","slug":"explotacion-de-envenenamiento-cuentas-crm-para-lanzar-ataques-de-envenenamiento-por-frase-de-semillas-de-criptomonedas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/explotacion-de-envenenamiento-cuentas-crm-para-lanzar-ataques-de-envenenamiento-por-frase-de-semillas-de-criptomonedas\/","title":{"rendered":"Explotaci\u00f3n de envenenamiento cuentas CRM para lanzar ataques de envenenamiento por frase de semillas de criptomonedas"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>07 de abril de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad en la nube \/ criptomoneda<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Una campa\u00f1a maliciosa doblada Envenenado<\/strong> est\u00e1 aprovechando las credenciales comprometidas asociadas con las herramientas de gesti\u00f3n de relaciones con el cliente (CRM) y los proveedores de correo electr\u00f3nico a granel para enviar mensajes de spam que contienen frases de semillas de criptomonedas en un intento de drenar las billeteras digitales de las v\u00edctimas.<\/p>\n

“Los destinatarios del spam a granel est\u00e1n atacados con un ataque de envenenamiento por frase de semillas de criptomoneda”, Silent Push dicho<\/a> en un an\u00e1lisis. “Como parte del ataque, la intoxicaci\u00f3n proporciona frases de semillas de seguridad para lograr que las v\u00edctimas potenciales copiaran y pegaran en nuevas billeteras de criptomonedas para un compromiso futuro”.<\/p>\n

Los objetivos de envenenamiento incluyen organizaciones empresariales e individuos fuera de la industria de las criptomonedas. Las compa\u00f1\u00edas criptogr\u00e1ficas como Coinbase y Ledger, y los proveedores de correo electr\u00f3nico a granel como MailChimp, SendGrid, Hubspot, Mailgun y Zoho se encuentran entre las compa\u00f1\u00edas criptogr\u00e1ficas espec\u00edficas.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Se eval\u00faa que la actividad es distinta de dos actores de amenaza de amenaza poco alineados dispersos de ara\u00f1a y criptochameleon, que son parte de un ecosistema de delito cibern\u00e9tico m\u00e1s amplio llamado Com. Algunos aspectos de la campa\u00f1a fueron revelados previamente por el investigador de seguridad Troy Hunt<\/a> y Computadora Bleeping<\/a> mes pasado.<\/p>\n

Los ataques involucran a los actores de amenaza que establecen p\u00e1ginas de phishing lookalike para empresas prominentes de CRM y correo electr\u00f3nico a granel, con el objetivo de enga\u00f1ar a los objetivos de alto valor para proporcionar sus credenciales. Una vez que se obtienen las credenciales, los adversarios proceden a crear una clave API para garantizar la persistencia, incluso si su propietario restablece la contrase\u00f1a robada.<\/p>\n

\"\"<\/a><\/div>\n

En la siguiente fase, los operadores exportan listas de correo probablemente utilizando una herramienta automatizada y env\u00eden spam desde esas cuentas comprometidas. Los mensajes de spam de la cadena de suministro posterior a CRM-compromiso informan a los usuarios que necesitan configurar una nueva billetera Coinbase utilizando la frase semilla integrada en el correo electr\u00f3nico.<\/p>\n

El objetivo final de los ataques es usar la misma frase de recuperaci\u00f3n para secuestrar las cuentas y transferir fondos de esas billeteras. Los enlaces a la ara\u00f1a dispersa y el criptochameleon provienen del uso de un dominio (“MailChimp-Sso[.]com “) que se ha identificado previamente como utilizado por el primero, as\u00ed como la orientaci\u00f3n hist\u00f3rica de Cryptochameleon de Coinbase y Ledger.<\/p>\n

Dicho esto, el kit de phishing<\/a> Usado por envenenamiento no comparte ninguna similitud con los utilizados por los otros dos grupos de amenazas, lo que plantea la posibilidad de que sea un nuevo kit de phishing de Cryptochameleon o es un actor de amenaza diferente que simplemente usa una artesan\u00eda similar.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El desarrollo se produce como un actor de amenaza de habla rusa que se ha observado utilizando p\u00e1ginas de phishing alojadas en las p\u00e1ginas de Cloudflare.dev y trabajadores.dev para entregar malware que puede controlar de forma remota hosts de Windows. A iteraci\u00f3n anterior<\/a> Se descubri\u00f3 que la campa\u00f1a tambi\u00e9n hab\u00eda distribuido el robador de informaci\u00f3n de STEALC.<\/p>\n

“Esta reciente campa\u00f1a aprovecha las p\u00e1ginas de phishing de la marca Cloudflare tem\u00e1tica en torno a los avisos de eliminaci\u00f3n de DMCA (Ley de Derechos de Autor Digital Millennium) atendido en m\u00faltiples dominios”, Hunt.io dicho<\/a>.<\/p>\n

“El se\u00f1uelo abusa del protocolo de la b\u00fasqueda de MS para descargar un archivo LNK malicioso disfrazado de PDF a trav\u00e9s de una doble extensi\u00f3n. Una vez ejecutado, el malware se verifica con un telegrama operado por el atacante que devuelve la direcci\u00f3n IP de la v\u00edctima antes de la transici\u00f3n para pasar por la transici\u00f3n Pir\u00e1mide C2<\/a> para controlar el hu\u00e9sped infectado “.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n