一场名为"PoisonSeed"(毒种子)的大规模钓鱼活动正在通过入侵企业电子邮件营销账户,发送包含加密货币助记词的钓鱼邮件,借此清空受害者的数字钱包。
据安全公司SilentPush披露,该活动主要针对Coinbase和Ledger用户,攻击者通过入侵Mailchimp、SendGrid、HubSpot、Mailgun和Zoho等平台的账户实施攻击。
研究人员将该活动与近期多起安全事件相关联,包括上月底Troy Hunt的Mailchimp账户遭入侵事件,以及2025年3月中旬BleepingComputer报道的Akamai SendGrid账户被黑事件——攻击者利用合法账户发送了伪装成Coinbase的助记词钓鱼邮件。
尽管"毒种子"活动与CryptoChameleon和Scattered Spider等威胁组织的作案手法存在相似之处,但SilentPush根据代码差异和其他区分因素将其归类为独立活动。
攻击链条解析
攻击的第一步是识别能够访问CRM和批量邮件平台的高价值目标。攻击者通过分析企业用于新闻通讯或营销的邮件服务,锁定相关岗位的员工。
随后,攻击者会发送精心设计的钓鱼邮件(发件人地址经过伪造),将受害者引导至精心命名的仿冒登录页面。例如针对MailChimp客户的钓鱼邮件中,攻击者使用了mail-chimpservices[.]com、mailchimp-sso[.]com和mailchimp-ssologin[.]com等域名。
针对Mailchimp账户的钓鱼邮件 来源:SilentPush
一旦获取凭证,攻击者会导出邮件列表并生成新的API密钥,即使受害者快速修改密码,攻击者仍能维持对账户的控制。
攻击者随后利用被入侵的账户向获取的邮件列表发送加密货币主题的钓鱼邮件,内容通常包含"Coinbase正在向自托管钱包过渡"等紧急提示。邮件中会附带一个Coinbase钱包助记词,诱导用户在新创建钱包时使用该助记词。如果受害者照做并转移资产,实际上是将资金转入了攻击者控制的钱包。
包含预设助记词的Coinbase主题邮件 来源:SilentPush
安全防护建议
处理通过电子邮件收到的紧急请求时,最佳做法是:
- 忽略邮件中的链接
- 直接登录相关平台(而非点击邮件链接)查看账户状态
加密货币钱包用户需注意:
- 切勿使用他人提供的助记词(正规平台永远不会发送预生成的助记词)
- 创建新钱包时应自行生成助记词
- 绝不向他人分享助记词
参考来源:
PoisonSeed phishing campaign behind emails with wallet seed phrases
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
