Dublajlı kötü niyetli bir kampanya Zehirli tohum Müşteri İlişkileri Yönetimi (CRM) araçları ve toplu e -posta sağlayıcılarıyla ilişkili tehlikeye atılan kimlik bilgilerini, kurbanların dijital cüzdanlarını boşaltmak için kripto para birimi tohum ifadeleri içeren spam mesajları göndermek için kullanıyor.
Silent Push bir analizde, “Toplu spam alıcıları bir kripto para tohumu ifadesi zehirlenme saldırısı ile hedefleniyor.” Dedi. “Saldırının bir parçası olarak, Poisonseed, potansiyel kurbanların gelecekteki uzlaşma için yeni kripto para cüzdanlarına kopyalayıp yapıştırmalarını sağlamak için güvenlik tohumu ifadeleri sağlıyor.”
Zehirli tohumun hedefleri, işletme kuruluşlarını ve kripto para birimi endüstrisi dışındaki bireyleri içerir. Coinbase ve Ledger gibi kripto şirketleri ve MailChimp, Sendgrid, Hubspot, Mailgun ve Zoho gibi toplu e -posta sağlayıcılar hedeflenen kripto şirketleri arasındadır.
Etkinliğin, her ikisi de COM adı verilen daha geniş bir siber suç ekosisteminin bir parçası olan iki gevşek hizalanmış tehdit aktöründen dağılmış örümcek ve kriptokameleondan farklı olduğu değerlendirilmektedir. Kampanyanın bazı yönleri daha önce güvenlik araştırmacısı Troy Hunt ve Blewing Computer tarafından geçen ay açıklanmıştı.
Saldırılar, önde gelen CRM ve toplu e-posta şirketleri için benzeyen kimlik avı sayfaları oluşturan tehdit aktörlerini içeriyor ve yüksek değerli hedefleri kimlik bilgilerini sağlamak için kandırmayı amaçlıyor. Kimlik bilgileri elde edildikten sonra, rakipler çalınan şifre sahibi tarafından sıfırlansa bile kalıcılığı sağlamak için bir API anahtarı oluşturmaya devam eder.
Bir sonraki aşamada, operatörler posta listeleri muhtemelen otomatik bir araç kullanarak ve bu tehlikeye atılan hesaplardan spam gönderir. CRM-Compromise tedarik zinciri spam mesajları, kullanıcılara e-postaya gömülü tohum ifadesini kullanarak yeni bir Coinbase cüzdanı kurmaları gerektiğini bildirir.
Saldırıların nihai amacı, hesapları ele geçirmek ve bu cüzdanlardan fon aktarmak için aynı kurtarma ifadesini kullanmaktır. Dağınık örümcek ve kriptocameleon bağlantıları bir etki alanı kullanımından kaynaklanmaktadır (“Mailchimp-so[.]com “) daha önce birincisi tarafından kullanıldığı ve Cryptochameleon’un Coinbase ve Ledger’i tarihsel hedeflemesi.
Bununla birlikte, zehirli tohum tarafından kullanılan kimlik avı kiti, diğer iki tehdit kümesi tarafından kullanılanlarla benzerliği paylaşmaz, bu da Cryptochameleon’dan yepyeni bir kimlik avı kiti olma olasılığını artırır ya da benzer bir tradecraft kullanan farklı bir tehdit aktörüdür.
Geliştirme, Rusça konuşan bir tehdit oyuncusu olarak, Cloudflare sayfalarında barındırılan kimlik avı sayfaları kullanılarak gözlemlendi. Kampanyanın daha önceki bir yinelemesinin STEALC bilgi stealer’ı da dağıttığı bulundu.
Hunt.io, “Bu son kampanya, DMCA (Dijital Binyıl Telif Hakkı Yasası) çevresinde temalı Cloudflare markalı kimlik avı sayfalarından yararlanıyor.
“LURE, MS-Search protokolünü, çift uzantı yoluyla PDF olarak gizlenmiş kötü amaçlı bir LNK dosyasını indirmek için kötüye kullanıyor. Yürütüldükten sonra, kötü amaçlı yazılım, bulaşıcı ana bilgisayarları kontrol etmek için Piramit C2’ye geçmeden önce kurbanın IP adresini geçmeden önce saldırgan tarafından çalıştırılan bir telgraf botunu satıyor.”