Il recente attacco informatico noto come PoisonSeed ha destato preoccupazione nel mondo della sicurezza informatica. Questo attacco sfrutta credenziali compromesse di strumenti di gestione delle relazioni con i clienti (CRM) e fornitori di email bulk per inviare messaggi spam contenenti frasi seed di criptovaluta. L'obiettivo è quello di svuotare i portafogli digitali delle vittime.
Silent Push ha descritto l'attacco come un tentativo di avvelenamento delle frasi seed di criptovaluta. I destinatari dei messaggi spam vengono invitati a copiare e incollare queste frasi in nuovi portafogli di criptovaluta, esponendoli a potenziali compromessi futuri. Le vittime includono sia organizzazioni aziendali che individui al di fuori dell'industria delle criptovalute. Aziende come Coinbase e Ledger, insieme a fornitori di email come Mailchimp, SendGrid, Hubspot, Mailgun e Zoho, sono tra i bersagli di questi attacchi.
Modalità operative di PoisonSeed
Le modalità operative di PoisonSeed sono distinte rispetto ad altri due attori di minacce, Scattered Spider e CryptoChameleon, che fanno parte di un ecosistema di crimine informatico più ampio noto come The Com. La campagna è stata precedentemente divulgata da ricercatori di sicurezza e coinvolge la creazione di pagine di phishing simili a quelle di aziende CRM e di email bulk, per ingannare obiettivi di alto valore e ottenere le loro credenziali. Una volta ottenute, gli aggressori creano una chiave API per garantire la persistenza anche se la password rubata viene reimpostata dal proprietario.
Nella fase successiva, gli operatori esportano le mailing list utilizzando probabilmente uno strumento automatizzato e inviano spam da quegli account compromessi. I messaggi di spam informano gli utenti che devono configurare un nuovo portafoglio Coinbase utilizzando la frase seed fornita nell'email. L'obiettivo finale degli attacchi è utilizzare la stessa frase di recupero per dirottare gli account e trasferire fondi da quei portafogli.
Connessione con altri attori di minacce
La connessione con Scattered Spider e CryptoChameleon deriva dall'uso di un dominio precedentemente identificato come utilizzato dal primo, oltre al targeting storico di Coinbase e Ledger da parte di CryptoChameleon. Tuttavia, il kit di phishing utilizzato da PoisonSeed non condivide somiglianze con quelli impiegati dagli altri due cluster di minacce, sollevando la possibilità che si tratti di un kit di phishing completamente nuovo o di un diverso attore di minacce che utilizza pratiche simili.
Sviluppi recenti
Lo sviluppo arriva mentre un attore di minacce di lingua russa è stato osservato utilizzare pagine di phishing ospitate su Cloudflare Pages.Dev e Workers.Dev per distribuire malware in grado di controllare da remoto host Windows infetti. Una precedente iterazione della campagna è stata trovata a distribuire anche il ladro di informazioni StealC.
Questa campagna recente sfrutta pagine di phishing a marchio Cloudflare che ruotano attorno a presunti avvisi di rimozione DMCA, serviti su più domini. L'esca sfrutta il protocollo ms-search per scaricare un file LNK malevolo mascherato da PDF tramite un'estensione doppia. Una volta eseguito, il malware si connette a un bot di Telegram gestito dagli aggressori, inviando l'indirizzo IP della vittima, prima di passare a Pyramid C2 per controllare l'host infetto.
