Une campagne malveillante surnommée Graine Tire parti des informations d’identification compromises associées aux outils de gestion de la relation client (CRM) et aux fournisseurs de courriels en vrac pour envoyer des messages de spam contenant des phrases de graines de crypto-monnaie dans le but de drainer les portefeuilles numériques des victimes.
“Les receveurs du spam en vrac sont ciblés avec une attaque d’empoisonnement de la phrase de graines de crypto-monnaie” dit dans une analyse. “Dans le cadre de l’attaque, Poisoned fournit des phrases de semences de sécurité pour que les victimes potentielles les copieraient et les collent dans de nouveaux portefeuilles de crypto-monnaie pour un compromis futur.”
Les cibles des graines empoisonnées comprennent les organisations d’entreprise et les individus en dehors de l’industrie des crypto-monnaies. Les sociétés de crypto comme Coinbase et Ledger et les fournisseurs de courriels en vrac tels que MailChimp, SendGrid, HubSpot, Mailgun et Zoho font partie des sociétés de crypto ciblées.
L’activité est évaluée comme étant distincte de deux acteurs de menace alignés vaguement, araignée dispersée et cryptochameleon, qui font tous deux partie d’un écosystème de cybercriminalité plus large appelé COM. Certains aspects de la campagne ont déjà été divulgués par un chercheur en sécurité Troy Hunt et Ordinateur de bip mois dernier.
Les attaques impliquent les acteurs de la menace qui mettent en place des pages de phishing par look pour les sociétés de messagerie CRM et en vrac proéminentes, visant à inciter les objectifs de grande valeur à fournir leurs informations d’identification. Une fois les informations d’identification obtenues, les adversaires procèdent à la création d’une clé API pour assurer la persistance même si le mot de passe volé est réinitialisé par son propriétaire.
Dans la phase suivante, les opérateurs exportent des listes de diffusion à l’aide d’un outil automatisé et envoient un spam à partir de ces comptes compromis. Les messages de spam de la chaîne d’approvisionnement post-CRM compromises informent les utilisateurs qu’ils doivent configurer un nouveau portefeuille Coinbase en utilisant la phrase de graines intégrée dans l’e-mail.
L’objectif final des attaques est d’utiliser la même phrase de récupération pour détourner les comptes et transférer des fonds de ces portefeuilles. Les liens vers Spider Spider et Cryptochameleon proviennent de l’utilisation d’un domaine (“MailChimp-SSO[.]com “) qui a été précédemment identifié comme utilisé par le premier, ainsi que le ciblage historique par Cryptochameleon de Coinbase et de Ledger.
Cela dit, le kit de phishing Utilisé par Poisonseed ne partage aucune similitude avec ceux utilisés par les deux autres grappes de menaces, ce qui soulève la possibilité qu’il s’agisse d’un tout nouveau kit de phishing de Cryptochameleon ou d’un acteur de menace différent qui utilise simplement des métiers similaires.
Le développement intervient alors qu’un acteur de menace russe a été observé à l’aide de pages de phishing hébergées sur CloudFlare Pages.dev et Workers.Dev pour fournir des logiciels malveillants qui peuvent contrôler à distance les hôtes Windows infectés. UN itération précédente de la campagne a également distribué le voleur d’informations STALC.
“Cette campagne récente tire parti des pages de phishing de marque Cloudflare sur le thème autour de DMCA (Digital Millennium Copyright Act) Avis de retrait servis dans plusieurs domaines”, Hunt.io dit.
“The lure abuses the ms-search protocol to download a malicious LNK file disguised as a PDF via a double extension. Once executed, the malware checks in with an attacker-operated Telegram bot-sending the victim’s IP address-before transitioning to Pyramide C2 pour contrôler l’hôte infecté. “




