一項名為PoisonSeed的惡意活動正在利用與客戶關係管理 (CRM) 工具和大量電子郵件提供者相關的洩漏憑證來發送包含加密貨幣種子短語的垃圾郵件，試圖耗盡受害者的數位錢包。

Silent Push在分析中“批量垃圾郵件的收件人成為加密貨幣種子短語中毒攻擊的目標。”表示

PoisonSeed 的目標包括加密貨幣行業以外的企業組織和個人。 Coinbase 和 Ledger 等加密貨幣公司以及 Mailchimp、SendGrid、Hubspot、Mailgun 和 Zoho 等大量電子郵件提供者都是目標加密貨幣公司之一。

經評估，此次活動與兩個鬆散關聯的威脅行為者Scattered Spider和CryptoChameleon不同，它們都是名為The Com的更廣泛的網路犯罪生態系統的一部分。安全研究員Troy Hunt和Bleeping Computer上個月曾披露過該活動的一些細節。

這些攻擊涉及威脅行為者為知名 CRM 和大量電子郵件公司設置相似的網路釣魚頁面，旨在誘騙高價值目標提供他們的憑證。一旦獲得憑證，攻擊者就會繼續建立 API 金鑰，以確保即使被盜密碼被其所有者重設也能持久存在。

在下一階段，營運商可能會使用自動化工具匯出郵件列表，並從那些被入侵的帳戶發送垃圾郵件。 CRM 受損後的供應鏈垃圾郵件通知用戶，他們需要使用電子郵件中嵌入的種子短語來設定新的 Coinbase 錢包。

攻擊的最終目標是使用相同的恢復短語劫持帳戶並從這些錢包中轉移資金。與 Scattered Spider 和 CryptoChameleon 的聯繫源於使用先前已確定為前者使用的網域名稱（「mailchimp-sso[.]com」），以及 CryptoChameleon 歷史上對 Coinbase 和 Ledger 的攻擊目標。

也就是說， PoisonSeed 使用的網路釣魚工具包與其他兩個威脅群集使用的網路釣魚工具包沒有任何相似之處，這增加了兩種可能性：一種是來自 CryptoChameleon 的全新網路釣魚工具包，另一種是恰好使用類似技巧的不同威脅行為者。

此事發生之際，有俄羅斯裔威脅行為者被發現使用託管在 Cloudflare Pages.Dev 和 Workers.Dev 上的網路釣魚頁面來傳播可遠端控制受感染 Windows 主機的惡意軟體。此前，該活動的一次攻擊還被發現傳播了 StealC 訊息竊取程式。

Hunt.io說：“最近的這次活動利用了 Cloudflare 品牌的以 DMCA（數位千禧年版權法）刪除通知為主題的網路釣魚頁面，並在多個網域上提供。”

“誘餌濫用ms-search 協議，通過雙擴展名下載偽裝成 PDF 的惡意 LNK 文件。一旦執行，惡意軟體就會與攻擊者操作的 Telegram 機器人進行檢查 – 發送受害者的 IP 地址 – 然後轉換到Pyramid C2來控制受感染的主機。”
LinkedIn閱讀我們發布的更多獨家內容。