Analistas de ameaças descobriram uma campanha de malware sofisticada e com duas frentes, mirando vítimas tanto dentro quanto fora da indústria de criptomoedas.
Em um relatório recente, a empresa de inteligência cibernética Silent Push identificou a campanha de malware chamada PoisonSeed, que inicialmente tem como alvo usuários de provedores de e-mail em massa, como Mailchimp e SendGrid.
Em um dos casos, um criador de conteúdo recebeu uma mensagem fraudulenta alegando que sua conta havia sido restringida — e foi enganado a fornecer suas credenciais de login por meio de um site falso, mas visualmente idêntico ao original.
A partir disso, suas listas de e-mails foram baixadas em massa, em um processo que a Silent Push descreve como “extremamente rápido e provavelmente automatizado”.
Na etapa seguinte, os assinantes desavisados recebem e-mails que supostamente vêm da exchange de criptomoedas Coinbase, alegando que a empresa está “migrando para carteiras autocustodiadas”.
É fornecida uma frase-semente de 12 palavras, que as vítimas são orientadas a importar em suas contas — mas, ao fazer isso, elas concedem aos agentes maliciosos liberdade para esvaziar completamente suas carteiras de criptomoedas.
Leia Também
Um dos clientes da Mailchimp afetados, o diretor regional da Microsoft Troy Hunt, disse que recebeu o e-mail de phishing quando estava “com muito jet lag e muito cansado”, o que o deixou vulnerável.
Embora ele tenha percebido que algo estava errado logo após inserir seus dados de login — e imediatamente trocado sua senha — a lista de e-mails já havia sido exportada.
“Relendo agora, esse é um phishing muito bem feito”, escreveu Hunt. “Usou engenharia social para me fazer acreditar que eu não conseguiria enviar minha newsletter, o que gerou ‘medo’, mas não foi aquele alarme exagerado dizendo que algo terrível aconteceria se eu não agisse imediatamente. Criou exatamente o nível certo de urgência sem exageros.”
A Silent Push afirmou que trata o PoisonSeed como distinto de dois “agentes de ameaça vagamente alinhados”, chamados Scattered Spider e CryptoChameleon — apesar de essas campanhas utilizarem domínios de phishing semelhantes e já terem atacado usuários da Coinbase e da Ledger no passado.
É um lembrete preocupante de que não são apenas os consumidores que precisam estar atentos a golpes de engenharia social, mas também criadores de conteúdo com grandes audiências em suas newsletters.
* Traduzido e editado com autorização do Decrypt.
- Você tem dúvidas de como montar uma carteira estratégica? O MB quer ajudar você com um portfólio pronto, com as principais criptomoedas relacionadas à inteligência artificial. Clique aqui para responder uma pesquisa e ajudar o MB nesta construção.
