Дослідники розповіли про масштабну фішингову кампанію PoisonSeed. Зловмисники зламують корпоративні облікові записи для email-маркетингу і від імені зламаних акаунтів Mailchimp, SendGrid, HubSpot, Mailgun і Zoho розсилають шахрайські листи.

Як пишуть експерти компанії SilentPush, в основному такі атаки спрямовані на користувачів Coinbase і Ledger. Крім того, кампанія може бути пов’язана з нещодавньою фішинговою атакою на засновника агрегатора витоків Have I Been Pwned Троя Ханта (Troy Hunt), унаслідок якої скомпрометували список розсилки Mailchimp, а також зі зломом облікового запису Akamai в SendGrid.

У рамках кампанії PoisonSeed хакери спочатку виявляють жертв, які мають доступ до CRM і email-платформ для масових розсилок. Це можна зробити, перевіривши, яку електронну пошту використовують компанії для своїх розсилок і маркетингу, і знайшовши співробітників на відповідних посадах.

Потім ці люди піддаються цілеспрямованим фішинговим атакам: листи надсилаються з підроблених адрес, а посилання в них ведуть на фальшиві сторінки входу, які ретельно замасковані, щоб здаватися легітимними. Наприклад, у листах, адресованих клієнтам MailChimp, зловмисники використовували домени mail-chimpservices[.]com, mailchimp-sso[.]com і mailchimp-ssologin[.]com.

Експерти нагадують, що користувачі криптогаманців за жодних обставин не повинні використовувати сторонні seed-фрази, і жодна серйозна платформа не буде розсилати клієнтам листи із заздалегідь згенерованими seed-фразами. Користувачам слід генерувати власні seed-фрази під час створення гаманців і не розкривати їх іншим людям.