Kampanye phishing skala besar yang dijuluki ‘racun’ membahayakan akun pemasaran email perusahaan untuk mendistribusikan email yang berisi frasa benih kripto yang digunakan untuk menguras dompet cryptocurrency.
Menurut untuk silentpushkampanye ini menargetkan Coinbase dan Ledger menggunakan akun yang dikompromikan di MailChimp, Sendgrid, HubSpot, Mailgun, dan Zoho.
Para peneliti menghubungkan kampanye dengan insiden terbaru, seperti kasus Akun MailChimp Troy Hunt kompromi dari akhir bulan lalu dan Hack akun akamai sendgrid BleepingComputer yang dilaporkan pada pertengahan Maret 2025, di mana akun yang sah digunakan untuk mengirimkan koinbase unggulan frase phishing email.
Meskipun kampanye racun memiliki kesamaan dengan operasi oleh cryptochameleon dan aktor ancaman laba -laba yang tersebar, Silent Push mengkategorikannya secara terpisah karena perbedaan kode dan faktor pembeda lainnya.
Rantai serangan beracun
Langkah pertama dalam serangan itu adalah mengidentifikasi target bernilai tinggi dengan akses ke platform email CRM dan curah. Ini dapat dilakukan dengan memeriksa apa yang digunakan perusahaan email untuk buletin atau pemasaran mereka dan menemukan karyawan di posisi terkait.
Selanjutnya, mereka menargetkan mereka dengan email phishing yang dibuat secara profesional yang dikirim dari alamat palsu, membawa mereka ke halaman login palsu yang di -host di domain bernama dengan cermat untuk tampil sah.
Misalnya, dalam email yang menargetkan pelanggan MailChimp, para aktor ancaman menggunakan domain-mail-chimpservices[.]com, MailChimp-sso[.]com, dan MailChimp-Ssologin[.]com.
Sumber: Silentpush
Setelah kredensial mereka dicuri, penyerang mengekspor milis dan menghasilkan kunci API baru untuk mempertahankan akses ke akun yang dibajak bahkan jika korban dengan cepat mengubah kata sandi mereka.
Penyerang kemudian menggunakan akun yang dikompromikan untuk mengirim spam phishing bertema kripto ke milis yang diekstraksi dengan peringatan yang mendorong tindakan penerima, seperti ‘Coinbase sedang beralih ke dompet diri sendiri.’
Email phishing mencakup frasa biji dompet Coinbase, memberi tahu pengguna untuk memasukkannya ke dompet kripto baru sebagai bagian dari peningkatan atau migrasi. Jika korban mengikuti instruksi ini dan mentransfer aset mereka ke dalamnya, mereka pada dasarnya “meracuni” dompet mereka, memungkinkan aktor ancaman untuk mengakses dan mengurasnya.
Sumber: Silentpush
Itu karena, ketika membuat dompet baru, korban tidak menggunakan frasa benih yang aman dan pra-dihasilkan dari perusahaan (Coinbase) seperti yang dibuat untuk dipercaya, tetapi sebaliknya menggunakan satu untuk dompet yang sudah di bawah kendali penyerang.
Mentransfer crypto mereka ke dompet itu pada dasarnya menyerahkan semua aset digital mereka kepada penyerang, yang kemudian dapat mentransfer dana.
Cara terbaik untuk menangani permintaan mendesak yang tiba melalui email adalah dengan mengabaikannya dan secara independen (bukan dengan mengklik tautan tertanam) masuk ke platform yang diklaim dan periksa apakah ada peringatan yang tertunda untuk akun Anda.
Pengguna dompet cryptocurrency tidak boleh menggunakan frasa benih yang disediakan oleh orang lain, karena platform yang sah tidak akan pernah mengirim frasa benih yang telah dihasilkan sebelumnya. Pengguna harus selalu menghasilkan frasa benih mereka sendiri saat membuat dompet baru dan tidak pernah membaginya dengan orang lain.
