‘Poisonseed’ olarak adlandırılan büyük ölçekli bir kimlik avı kampanyası, kripto para cüzdanlarını boşaltmak için kullanılan kripto tohum ifadelerini içeren e-postaları dağıtmak için kurumsal e-posta pazarlama hesaplarından ödün veriyor.
SilentPush’a göre, kampanya Coinbase ve Ledger’i MailChimp, Sendgrid, Hubspot, Mailgun ve Zoho’daki uzlaşmış hesapları kullanmayı hedefliyor.
Araştırmacılar, kampanyayı Troy Hunt’ın geçen ayın sonlarından itibaren MailChimp hesabı uzlaşması gibi son olaylarla ilişkilendiriyor ve 2025 yılının ortalarında bildirilen bir Akamai Sendgrid hesabı BluckingComputer, meşru hesabın Coinbase tohum ifadesi gösterim e-postalarını göndermek için kullanıldığı 2025 yılının ortalarında bildiriliyor.
Zehir tohumu kampanyası, kriptocameleon tarafından operasyonlarla benzerlikleri paylaşmasına ve dağınık örümcek tehdidi aktörlerini paylaşmasına rağmen, Silent Push kod farklılıkları ve diğer farklılaştırıcı faktörler nedeniyle ayrı ayrı kategorize eder.
Zehir tohumu saldırı zinciri
Saldırının ilk adımı, CRM ve toplu e-posta platformlarına erişimi olan yüksek değerli hedefleri tanımlamaktır. Bu, e -posta şirketlerinin haber bültenleri için hangi kullandıklarını veya pazarlama ve ilgili pozisyonlarda çalışanları bularak yapılabilir.
Daha sonra, sahte adreslerden gönderilen profesyonel olarak hazırlanmış kimlik avı e -postaları ile hedefliyorlar ve onları meşru görünmek için dikkatle adlandırılmış alanlarda barındırılan sahte oturum açma sayfalarına götürüyorlar.
Örneğin, MailChimp müşterilerini hedefleyen e-postalarda, tehdit aktörleri Mail-chimpservices alan adlarını kullandı[.]com, mailchimp-sso[.]com ve mailchimp-ssologin[.]com.
Kaynak: Silentpush
Kimlik bilgileri çalındıktan sonra, saldırganlar posta listelerini dışa aktarır ve kurban şifrelerini hızla değiştirse bile kaçırılan hesaba erişimi sürdürmek için yeni API anahtarları oluşturur.
Saldırgan daha sonra tehlikeye atılan hesabı, kripto temalı kimlik avı spamını, alıcının eylemini yönlendiren uyarılarla çıkarılan posta listelerine göndermek için kullanır.
Kimlik avı e -postası, kullanıcıya yükseltme veya geçişin bir parçası olarak yeni bir kripto cüzdanına girmesini söyleyen bir Coinbase cüzdan tohumu ifadesi içerir. Mağdur bu talimatı takip eder ve varlıklarını buna aktarırsa, aslında cüzdanlarını “zehirler” ve tehdit aktörlerinin bunlara erişmesini ve boşaltmalarını sağlar.
Kaynak: Silentpush
Bunun nedeni, yeni bir cüzdan oluştururken, kurban, inanmak için yapıldıkları gibi şirketten (Coinbase) güvenli, önceden oluşturulmuş bir tohum ifadesi kullanmıyor, bunun yerine zaten saldırganların kontrolü altında bir cüzdan için bir tane kullanıyor.
Kriptolarını bu cüzdana aktarmak temel olarak tüm dijital varlıklarını saldırgana teslim ediyor ve daha sonra fonları aktarabilecek.
E -posta yoluyla gelen acil isteklerle başa çıkmanın en iyi yolu, onları görmezden gelmek ve bağımsız olarak (gömülü bağlantılara tıklayarak değil) talep edilen platforma giriş yapın ve hesabınız için bekleyen uyarılar olup olmadığını kontrol edin.
Kripto para birimi cüzdan kullanıcıları asla başka biri tarafından sağlanan bir tohum ifadesi kullanmamalıdır, çünkü meşru bir platform asla önceden oluşturulmuş bir tohum ifadesi göndermeyecektir. Kullanıcılar yeni bir cüzdan oluştururken her zaman kendi tohum ifadelerini oluşturmalı ve asla başkalarıyla paylaşmalıdır.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.