Группа аналитиков Silent Push поделилась результатами исследования по теме атак, связанных с фишингом и спамом в сфере криптовалют. Они выявили новую угрозу, названную PoisonSeed, которая нацелена на корпоративные организации и VIP-персоны, имеющие отношение к криптовалютной индустрии. PoisonSeed использует методы фишинга и отправки массовой электронной почты, а также новую фишинговую попытку, известную как "crypto seed phrase".
Описание
В список целей угрозы входят провайдеры криптовалют и корпоративный провайдер массовой электронной почты.
Исследователи также обнаружили связь между PoisonSeed и другими группами злоумышленников, известными как Scattered Spider и CryptoChameleon. Они представляют одно сообщество, известное как "The Comm". Они выяснили связь между двумя атаками, произошедшими в марте 2025 года, в рамках фишинговой атаки и криптофишинговой кампании.
Угроза PoisonSeed использовала взломанную учетную запись Akamai SendGrid для отправки криптовалютного спама. Также было обнаружено, что взломанный аккаунт рассылал фишинговые сообщения SendGrid еще одной корпоративной организации, продвигая домен sso-account[.]com. Хакеры PoisonSeed фишингуют учетные данные провайдеров CRM и массовой электронной почты, чтобы отправлять массовый спам с взломанных учетных записей. Они также атакуют пользователей с помощью фишинговых писем, предлагая вводить начальные фразы криптовалютных кошельков.
Неизвестно точное происхождение злоумышленников PoisonSeed, и хотя было выявлено сходство с другими группами, в данный момент они классифицируются отдельно из-за уникальных точек данных и отсутствия сходства в коде. Исследователи рекомендуют осторожность и регистрацию на Silent Push Community Edition, чтобы быть в курсе будущих атак и использовать инструменты, описанные в их исследовании.
Indicators of Compromise
IPv4
- 212.224.88.188
- 86.54.42.92
Domains
- active-mailgun.com
- barefoots-api.com
- cloudflare-sendgrid.com
- complete-sendgrid.com
- connect1-coinbase.com
- connect5-coinbase.com
- firmware-llive.com
- firmware-server12.com
- hubservices-crm.com
- inquiry-loginp.com
- iosjdfsmdkf.com
- live-sso.com
- mail-chimpservices.com
- mailchimp-sso.com
- mailchimp-ssologin.com
- myaccount-hbspot.com
- mysite-clflre.com
- mysrver-chbackend.com
- mywallet-cbsmartw.com
- mywallet-cbsmw.com
- mywallet-cbupgrade.com
- myw-cbw.com
- nikafk244.com
- password-proxy-redirect.com
- redirect-sso.com
- response16-sendgrid.com
- response20-sendgrid.com
- response-crmsg.com
- responseinquiry-tos.com
- response-loginportal.com
- responsesendgrid.com
- review-termsconditions.com
- revokecblink.com
- rseponse25-sendgrid.com
- rseponse-manageprod.com
- rseponsequery.com
- server12-mchimp.com
- server9-hubspot.com
- server9-mailgun.com
- server9-sendgrid.net
- sso-account.com
- sso-signon.com
- support-zoho.com
- swallet-coinbase.com
