Cibercriminales Utilizan Plataformas de Correo Masivo Para Propagar Malware PoisonSeed

Los analistas de amenazas han descubierto una sofisticada campaña de malware de dos vertientes dirigida a víctimas tanto dentro como fuera del ecosistema cripto.

En un informe reciente, la firma de inteligencia cibernética Silent Push identificó la campaña de malware PoisonSeed, que inicialmente se dirige a los usuarios de proveedores de correo masivo, incluyendo Mailchimp y SendGrid.

En un caso, un creador de contenido recibió un mensaje fraudulento que afirmaba que su cuenta había sido restringida, y fue engañado para proporcionar sus datos de acceso a través de un sitio web falso pero “perfectamente replicado”.

A partir de aquí, sus listas de correo son descargadas en masa, en un proceso que Silent Push describe como “extremadamente rápido y probablemente automatizado”.

El siguiente paso consiste en enviar a los suscriptores desprevenidos correos electrónicos supuestamente del exchange de criptomonedas Coinbase, que afirman que el exchange está “haciendo la transición a carteras auto-custodiadas”.

Luego se proporciona una frase semilla de 12 palabras, que indica a las víctimas del fraude que importen a su cuenta, pero hacerlo daría a los actores maliciosos la libertad de drenar todos los criptoactivos de su wallet.

Uno de los clientes de Mailchimp afectados, el director regional de Microsoft Troy Hunt, dijo que recibió el correo electrónico de phishing cuando estaba “realmente cansado por el jet lag”, lo que lo dejó vulnerable.

Aunque se dio cuenta de que algo no estaba bien inmediatamente después de ingresar sus datos de acceso —y cambió su contraseña rápidamente— la lista de correo ya había sido exportada.

“Al leerlo de nuevo ahora, es un phishing muy bien elaborado”, escribió Hunt. “Me manipuló psicológicamente para creer que no podría enviar mi boletín, lo que desencadenó ‘miedo’, pero no era todo campanas y silbatos sobre algo terrible que sucedería si no tomaba acción inmediata. Creó justo la cantidad correcta de urgencia sin ser exagerado”.

Silent Push dijo que está tratando a PoisonSeed como algo distinto de dos “actores de amenazas vagamente alineados” llamados Scattered Spider y CryptoChameleon, a pesar de que estas campañas utilizan dominios de phishing similares y han tenido como objetivo a los usuarios de Coinbase y Ledger en el pasado.

Es una sobria ilustración de que no solo los consumidores necesitan estar vigilantes frente a las estafas de ingeniería social, sino también los creadores de contenido con grandes audiencias para sus boletines.