{"id":1614548,"date":"2025-04-07T07:20:10","date_gmt":"2025-04-07T09:20:10","guid":{"rendered":"https:\/\/teknomers.com\/fr\/poisonseed-exploite-les-comptes-crm-pour-lancer\/"},"modified":"2025-04-07T07:20:14","modified_gmt":"2025-04-07T09:20:14","slug":"poisonseed-exploite-les-comptes-crm-pour-lancer","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/poisonseed-exploite-les-comptes-crm-pour-lancer\/","title":{"rendered":"Poisonseed exploite les comptes CRM pour lancer"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">07 avril 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 du cloud \/ crypto-monnaie<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Poisonseed-exploite-les-comptes-CRM-pour-lancer.jpg\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Une campagne malveillante surnomm\u00e9e <strong>Graine<\/strong> Tire parti des informations d&#8217;identification compromises associ\u00e9es aux outils de gestion de la relation client (CRM) et aux fournisseurs de courriels en vrac pour envoyer des messages de spam contenant des phrases de graines de crypto-monnaie dans le but de drainer les portefeuilles num\u00e9riques des victimes.<\/p>\n<p>&#8220;Les receveurs du spam en vrac sont cibl\u00e9s avec une attaque d&#8217;empoisonnement de la phrase de graines de crypto-monnaie&#8221; <a rel=\"noopener nofollow\" href=\"https:\/\/www.silentpush.com\/blog\/poisonseed\/\" target=\"_blank\">dit<\/a> dans une analyse. &#8220;Dans le cadre de l&#8217;attaque, Poisoned fournit des phrases de semences de s\u00e9curit\u00e9 pour que les victimes potentielles les copieraient et les collent dans de nouveaux portefeuilles de crypto-monnaie pour un compromis futur.&#8221;<\/p>\n<p>Les cibles des graines empoisonn\u00e9es comprennent les organisations d&#8217;entreprise et les individus en dehors de l&#8217;industrie des crypto-monnaies. Les soci\u00e9t\u00e9s de crypto comme Coinbase et Ledger et les fournisseurs de courriels en vrac tels que MailChimp, SendGrid, HubSpot, Mailgun et Zoho font partie des soci\u00e9t\u00e9s de crypto cibl\u00e9es.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/drata-3\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Pres-de-24-000-IPS-Target-Pan-OS-GlobalProtect-dans-la.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;activit\u00e9 est \u00e9valu\u00e9e comme \u00e9tant distincte de deux acteurs de menace align\u00e9s vaguement, araign\u00e9e dispers\u00e9e et cryptochameleon, qui font tous deux partie d&#8217;un \u00e9cosyst\u00e8me de cybercriminalit\u00e9 plus large appel\u00e9 COM. Certains aspects de la campagne ont d\u00e9j\u00e0 \u00e9t\u00e9 divulgu\u00e9s par un chercheur en s\u00e9curit\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/www.troyhunt.com\/a-sneaky-phish-just-grabbed-my-mailchimp-mailing-list\/\" target=\"_blank\">Troy Hunt<\/a> et <a rel=\"noopener nofollow\" href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/coinbase-phishing-email-tricks-users-with-fake-wallet-migration\/\" target=\"_blank\">Ordinateur de bip<\/a> mois dernier.<\/p>\n<p>Les attaques impliquent les acteurs de la menace qui mettent en place des pages de phishing par look pour les soci\u00e9t\u00e9s de messagerie CRM et en vrac pro\u00e9minentes, visant \u00e0 inciter les objectifs de grande valeur \u00e0 fournir leurs informations d&#8217;identification. Une fois les informations d&#8217;identification obtenues, les adversaires proc\u00e8dent \u00e0 la cr\u00e9ation d&#8217;une cl\u00e9 API pour assurer la persistance m\u00eame si le mot de passe vol\u00e9 est r\u00e9initialis\u00e9 par son propri\u00e9taire.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1744017609_461_Poisonseed-exploite-les-comptes-CRM-pour-lancer.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1744017609_461_Poisonseed-exploite-les-comptes-CRM-pour-lancer.jpg\" alt=\"\" border=\"0\" data-original-height=\"501\" data-original-width=\"728\"\/><\/a><\/div>\n<p>Dans la phase suivante, les op\u00e9rateurs exportent des listes de diffusion \u00e0 l&#8217;aide d&#8217;un outil automatis\u00e9 et envoient un spam \u00e0 partir de ces comptes compromis. Les messages de spam de la cha\u00eene d&#8217;approvisionnement post-CRM compromises informent les utilisateurs qu&#8217;ils doivent configurer un nouveau portefeuille Coinbase en utilisant la phrase de graines int\u00e9gr\u00e9e dans l&#8217;e-mail.<\/p>\n<p>L&#8217;objectif final des attaques est d&#8217;utiliser la m\u00eame phrase de r\u00e9cup\u00e9ration pour d\u00e9tourner les comptes et transf\u00e9rer des fonds de ces portefeuilles. Les liens vers Spider Spider et Cryptochameleon proviennent de l&#8217;utilisation d&#8217;un domaine (&#8220;MailChimp-SSO[.]com &#8220;) qui a \u00e9t\u00e9 pr\u00e9c\u00e9demment identifi\u00e9 comme utilis\u00e9 par le premier, ainsi que le ciblage historique par Cryptochameleon de Coinbase et de Ledger.<\/p>\n<p>Cela dit, le <a rel=\"noopener nofollow\" href=\"https:\/\/www.kelacyber.com\/blog\/phishing-as-a-service\/\" target=\"_blank\">kit de phishing<\/a> Utilis\u00e9 par Poisonseed ne partage aucune similitude avec ceux utilis\u00e9s par les deux autres grappes de menaces, ce qui soul\u00e8ve la possibilit\u00e9 qu&#8217;il s&#8217;agisse d&#8217;un tout nouveau kit de phishing de Cryptochameleon ou d&#8217;un acteur de menace diff\u00e9rent qui utilise simplement des m\u00e9tiers similaires.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zscaler-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743491377_264_Apple-a-condamne-une-amende-a-150-millions-deuros-par.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le d\u00e9veloppement intervient alors qu&#8217;un acteur de menace russe a \u00e9t\u00e9 observ\u00e9 \u00e0 l&#8217;aide de pages de phishing h\u00e9berg\u00e9es sur CloudFlare Pages.dev et Workers.Dev pour fournir des logiciels malveillants qui peuvent contr\u00f4ler \u00e0 distance les h\u00f4tes Windows infect\u00e9s. UN <a rel=\"noopener nofollow\" href=\"https:\/\/hunt.io\/blog\/russian-speaking-actors-impersonate-etf-distribute-stealc-pyramid-c2\" target=\"_blank\">it\u00e9ration pr\u00e9c\u00e9dente<\/a> de la campagne a \u00e9galement distribu\u00e9 le voleur d&#8217;informations STALC.<\/p>\n<p>&#8220;Cette campagne r\u00e9cente tire parti des pages de phishing de marque Cloudflare sur le th\u00e8me autour de DMCA (Digital Millennium Copyright Act) Avis de retrait servis dans plusieurs domaines&#8221;, Hunt.io <a rel=\"noopener nofollow\" href=\"https:\/\/hunt.io\/blog\/russian-actor-cloudflare-phishing-telegram-c2\" target=\"_blank\">dit<\/a>.<\/p>\n<p>&#8220;The lure abuses the ms-search protocol to download a malicious LNK file disguised as a PDF via a double extension. Once executed, the malware checks in with an attacker-operated Telegram bot-sending the victim&#8217;s IP address-before transitioning to <a rel=\"noopener nofollow\" href=\"https:\/\/hunt.io\/blog\/tracking-pyramid-c2-identifying-post-exploitation-servers\" target=\"_blank\">Pyramide C2<\/a> pour contr\u00f4ler l&#8217;h\u00f4te infect\u00e9. &#8220;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/poisonseed-exploits-crm-accounts-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80207 avril 2025\ue804Ravie LakshmananS\u00e9curit\u00e9 du cloud \/ crypto-monnaie Une campagne malveillante surnomm\u00e9e Graine Tire parti des informations d&#8217;identification compromises associ\u00e9es aux outils de gestion de la relation client (CRM) et aux fournisseurs de courriels en vrac pour envoyer des messages de spam contenant des phrases de graines de crypto-monnaie dans le but de drainer les [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1614549,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,4168,4493,211924,79002,274264,4161,274263,6124,7727,3637,65,274267,4160,294432,185,238617,246491,4172,79016,4166,4164],"class_list":["post-1614548","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-comment-pirater","tag-comptes","tag-crm","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-exploite","tag-lancer","tag-les","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-poisonseed","tag-pour","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1614548","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1614548"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1614548\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1614549"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1614548"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1614548"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1614548"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}