Kampanye jahat dijuluki Racun Apakah memanfaatkan kredensial yang dikompromikan yang terkait dengan alat manajemen hubungan pelanggan (CRM) dan penyedia email massal untuk mengirim pesan spam yang berisi frasa benih cryptocurrency dalam upaya menguras dompet digital korban.
“Penerima spam curah ditargetkan dengan serangan keracunan ungkapan benih cryptocurrency,” kata Silent Push dalam sebuah analisis. “Sebagai bagian dari serangan itu, racun memberikan frasa benih keamanan untuk mendapatkan calon korban untuk menyalin dan menempelkannya ke dompet cryptocurrency baru untuk kompromi di masa depan.”
Target racun termasuk organisasi perusahaan dan individu di luar industri cryptocurrency. Perusahaan crypto seperti Coinbase dan Ledger, dan penyedia email curah seperti MailChimp, Sendgrid, Hubspot, Mailgun, dan Zoho adalah salah satu perusahaan crypto yang ditargetkan.
Kegiatan ini dinilai berbeda dari dua aktor ancaman yang selaras longgar yang tersebar laba -laba dan cryptochameleon, yang keduanya merupakan bagian dari ekosistem kejahatan dunia maya yang lebih luas yang disebut com. Beberapa aspek kampanye sebelumnya diungkapkan oleh peneliti keamanan Troy Hunt dan Bleeping Computer bulan lalu.
Serangan itu melibatkan para aktor ancaman yang mengatur halaman phishing yang mirip untuk CRM terkemuka dan perusahaan email massal, yang bertujuan untuk menipu target bernilai tinggi untuk memberikan kredensial mereka. Setelah kredensial diperoleh, musuh melanjutkan untuk membuat kunci API untuk memastikan kegigihan bahkan jika kata sandi yang dicuri diatur ulang oleh pemiliknya.
Pada fase berikutnya, operator mengekspor milis kemungkinan menggunakan alat otomatis dan mengirim spam dari akun yang dikompromikan. Pesan spam rantai pasokan pasca-CRM-Compromise memberi tahu pengguna bahwa mereka perlu mengatur dompet koin baru menggunakan frasa benih yang tertanam dalam email.
Tujuan akhir dari serangan itu adalah menggunakan frasa pemulihan yang sama untuk membajak akun dan mentransfer dana dari dompet tersebut. Tautan ke laba-laba yang tersebar dan cryptochameleon berasal dari penggunaan domain (“MailChimp-sso[.]com “) yang sebelumnya telah diidentifikasi seperti yang digunakan oleh yang pertama, serta penargetan historis cryptochameleon dari Coinbase dan Ledger.
Yang mengatakan, kit phishing yang digunakan oleh racun tidak memiliki kesamaan dengan yang digunakan oleh dua kelompok ancaman lainnya, meningkatkan kemungkinan bahwa itu adalah kit phishing baru dari cryptochameleon atau itu adalah aktor ancaman yang berbeda yang kebetulan menggunakan tradecraft serupa.
Perkembangan ini terjadi ketika aktor ancaman berbahasa Rusia telah diamati menggunakan halaman phishing yang di-host di halaman cloudflare.dev dan pekerja. Iterasi kampanye sebelumnya ditemukan juga telah membagikan pencuri informasi stealc.
“Kampanye baru-baru ini memanfaatkan halaman phishing bermerek cloudflare yang bertema di sekitar DMCA (Digital Millennium Copyright Act) pemberitahuan penghapusan yang disajikan di berbagai domain,” kata Hunt.io.
“Daya tarik melecehkan protokol MS-Search untuk mengunduh file LNK berbahaya yang disamarkan sebagai PDF melalui ekstensi ganda. Setelah dieksekusi, malware memeriksa dengan bot telegram yang dioperasikan oleh penyerang menggerakkan host yang terinfeksi.”
