Trusselsanalytikere har afsløret en sofistikeret, tostrenget malware-kampagne rettet mod ofre både inden for og uden for kryptoindustrien.
I en nylig rapport identificerede cyber intelligensfirmaet Silent Push malware-kampagnen PoisonSeed, som oprindeligt retter sig mod brugerne af masse-e-mail-udbydere, herunder Mailchimp og SendGrid.
I et tilfælde blev en indholdscreator sendt en bedragerisk besked, der hævdede, at deres konto var blevet begrænset – og de blev narret til at give deres loginoplysninger via en falsk, men “pixel-perfekt” hjemmeside.
Herefter downloades deres maillister i stor stil, i en proces som Silent Push beskriver som “ekstremt hurtig og sandsynligvis automatiseret.”
Næste skridt er, at intetanende abonnenter modtager e-mails, der angiveligt er fra krypto-børsen Coinbase, som hævder, at børsen “skifter til selvopbevaringswallets.”
Der gives en 12-ords seed-phrase, som svindlens ofre får besked på at importere til deres konto – men hvis de gør det, giver det ondsindede aktører friheden til at tømme al krypto ud af deres wallet.
En af Mailchimps kunder, Microsofts regionale direktør Troy Hunt, sagde, at han modtog phishing-e-mailen, da han var “rigtig jetlagged og virkelig træt,” hvilket gjorde ham sårbar.
Selvom det gik op for ham, at noget ikke var rigtigt, lige efter han indtastede sine loginoplysninger – og han straks ændrede sit kodeord – var maillisten allerede eksporteret.
“Hvis jeg læser det igen nu, er det en meget veludført phishing,” skrev Hunt. “Den socialt konstruerede mig til at tro, at jeg ikke ville kunne sende mit nyhedsbrev ud, så den udløste ‘frygt’, men der var ikke alverdens signaler om, at der ville ske noget forfærdeligt, hvis jeg ikke handlede straks. Den skabte præcis den rette mængde af hastværk uden at være overgearet.”
Silent Push sagde, at de betragter PoisonSeed som forskellig fra to “løst forbundne trusselsaktører” kaldet Scattered Spider og CryptoChameleon – på trods af at disse kampagner bruger lignende phishing-domæner og tidligere har rettet sig mod Coinbase- og Ledger-brugere.
Det er et tankevækkende eksempel på, at det ikke kun er forbrugerne, der skal være opmærksomme over for social engineering-svindel, men også indholdscreators med store publikum for deres nyhedsbreve.
Malwarekampagne spreder falske tegnblokfraser gennem hacket postlister.
