Una campaña maliciosa doblada Envenenado está aprovechando las credenciales comprometidas asociadas con las herramientas de gestión de relaciones con el cliente (CRM) y los proveedores de correo electrónico a granel para enviar mensajes de spam que contienen frases de semillas de criptomonedas en un intento de drenar las billeteras digitales de las víctimas.
«Los destinatarios del spam a granel están atacados con un ataque de envenenamiento por frase de semillas de criptomoneda», dijo Silent Push en un análisis. «Como parte del ataque, la intoxicación proporciona frases de semillas de seguridad para lograr que las víctimas potenciales copiaran y pegaran en nuevas billeteras de criptomonedas para un compromiso futuro».
Los objetivos de envenenamiento incluyen organizaciones empresariales e individuos fuera de la industria de las criptomonedas. Las compañías criptográficas como Coinbase y Ledger, y los proveedores de correo electrónico a granel como MailChimp, SendGrid, Hubspot, Mailgun y Zoho se encuentran entre las compañías criptográficas específicas.
Se evalúa que la actividad es distinta de dos actores de amenaza de amenaza poco alineados dispersos de araña y criptochameleon, que son parte de un ecosistema de delito cibernético más amplio llamado Com. Algunos aspectos de la campaña fueron revelados previamente por el investigador de seguridad Troy Hunt y Bleeping Computer el mes pasado.
Los ataques involucran a los actores de amenaza que establecen páginas de phishing lookalike para empresas prominentes de CRM y correo electrónico a granel, con el objetivo de engañar a los objetivos de alto valor para proporcionar sus credenciales. Una vez que se obtienen las credenciales, los adversarios proceden a crear una clave API para garantizar la persistencia, incluso si su propietario restablece la contraseña robada.
En la siguiente fase, los operadores exportan listas de correo probablemente utilizando una herramienta automatizada y envíen spam desde esas cuentas comprometidas. Los mensajes de spam de la cadena de suministro posterior a CRM-compromiso informan a los usuarios que necesitan configurar una nueva billetera Coinbase utilizando la frase semilla integrada en el correo electrónico.
El objetivo final de los ataques es usar la misma frase de recuperación para secuestrar las cuentas y transferir fondos de esas billeteras. Los enlaces a la araña dispersa y el criptochameleon provienen del uso de un dominio («MailChimp-Sso (.) Com») que se ha identificado previamente como utilizado por el primero, así como la orientación histórica de Cryptochameleon de Coinbase y Ledger.
Dicho esto, el kit de phishing utilizado por envenenamiento no comparte ninguna similitud con los utilizados por los otros dos grupos de amenazas, lo que plantea la posibilidad de que sea un nuevo kit de phishing de Cryptochameleon o es un actor de amenaza diferente que simplemente usa una artesanía similar.
El desarrollo se produce como un actor de amenaza de habla rusa que se ha observado utilizando páginas de phishing alojadas en las páginas de Cloudflare.dev y trabajadores.dev para entregar malware que puede controlar de forma remota hosts de Windows. Se descubrió que una iteración previa de la campaña también había distribuido el robador de información de Stealc.
«Esta reciente campaña aprovecha las páginas de phishing de la marca Cloudflare temática en torno a los avisos de derribo DMCA (Digital Millennium Copyright Act) que se atiende en múltiples dominios», dijo Hunt.io.
«El señuelo abusa del protocolo de la búsqueda de MS para descargar un archivo LNK malicioso disfrazado de PDF a través de una doble extensión. Una vez ejecutado, el malware se verifica con un telegrama operado por el atacante que devuelve la dirección IP de la víctima antes de la transición a Pyramid C2 para controlar el host infectado».