PoisonSeed: новая угроза фишинга для компаний и VIP-персон

В мире кибербезопасности появилась новая угроза, известная как PoisonSeed. Эта угроза нацелена, в первую очередь, на корпоративные структуры и VIP-персон за пределами криптовалютного сектора. Многоплановая фишинговая кампания ставит акцент на криптовалютные компании, такие как Coinbase и Ledger, а также на поставщиков услуг массовой электронной почты, таких как Mailchimp и SendGrid.

Методы атаки

Кампания PoisonSeed фокусируется на фишинге учетных данных от CRM-систем и провайдеров электронной почты, что позволяет злоумышленникам экспортировать списки адресов электронной почты и рассылать массовый спам, используя криптографические исходные фразы для манипуляции жертвами. Основная цель хакеров — заставить потенциальные жертвы скопировать исходные фразы в новые криптовалютные кошельки, используя их затем для несанкционированного доступа и кражи средств.

Связи с другими группами

Были установлены связи между PoisonSeed и двумя другими хакерскими группами — Scattered Spider и CryptoChameleon, хотя PoisonSeed классифицируется отдельно благодаря своим уникальным тактикам и инфраструктуре. Примечательной является фишинговая атака, связанная с компрометацией учетной записи Akamai SendGrid в марте 2025 года. Она подчеркнула операционную механику PoisonSeed, в которой скомпрометированная учетная запись сыграла важную роль в распространении крипто-спама и попытках фишинга.

Технологии и подходы

Кампания PoisonSeed демонстрирует методологию фишинга, использующую точные копии страниц входа для целевых поставщиков. Например, фишинговое электронное письмо для Троя Ханта было тщательно разработано и выглядело как уведомление об «ограниченных правах на отправку». Это переносило его на мошенническую страницу для сбора учетных данных. После получения доступа PoisonSeed автоматизирует процесс массовой загрузки списков рассылок и запуска спам-кампаний, используя продуманные системы рассылки сообщений.

Общая структура и подозрительные домены

Дальнейший анализ показал, что несколько фишинговых доменов имеют общие шаблоны данных WHOIS, включая использование уникальных или непристойных фраз. Эти домены были связаны как с кампаниями фишинга по электронной почте, так и с различными криптовалютами. Участники, стоящие за PoisonSeed, продемонстрировали системный подход, включая регистрацию доменов с течением времени, что наводит на мысль о единообразной операционной базе.

Различия в методах

Несмотря на исследование похожести PoisonSeed и её потенциальных партнеров в рамках «The Communication», различия в методах работы важны для понимания угрозы. Например, Scattered Spider обычно участвует в корпоративных операциях по выкупу с высокими ставками, в то время как тактика PoisonSeed подразумевает более инновационный подход с акцентом на получение прибыли от криптовалюты через сложную социальную инженерию. Сравнительно, CryptoChameleon известен своими громкими атаками на владельцев криптовалют, но, похоже, не применял тактику заражения исходными фразами.