Una campaña de phishing de gran escala denominada “PoisonSeed” está comprometiendo cuentas de marketing por correo electrónico corporativo para distribuir correos que contienen frases semilla de billetera de criptomonedas, utilizadas para drenar las carteras de los usuarios.
Según SilentPush, esta campaña tiene como objetivo a Coinbase y Ledger, utilizando cuentas comprometidas de plataformas de correo masivo como Mailchimp, SendGrid, HubSpot, Mailgun y Zoho.
El ataque y su cadena de eventos ️♂️
El primer paso del ataque consiste en identificar objetivos de alto valor con acceso a plataformas de marketing por correo electrónico y CRM. Esto se logra al investigar qué empresas usan para sus boletines o campañas de marketing y encontrar empleados en posiciones relacionadas.
Los atacantes luego envían correos electrónicos de phishing profesionalmente elaborados desde direcciones falsificadas, dirigiendo a las víctimas a páginas de inicio de sesión falsas alojadas en dominios cuidadosamente elegidos para parecer legítimos.
Ejemplo de dominios falsos utilizados en los correos electrónicos dirigidos a clientes de MailChimp incluye mail-chimpservices[.]com, mailchimp-sso[.]com y mailchimp-ssologin[.]com.
Robo de credenciales y el envío de correos de phishing con frases semilla
Una vez que se roban las credenciales, los atacantes exportan listas de correo y generan nuevas claves API para mantener acceso a la cuenta comprometida, incluso si la víctima cambia rápidamente su contraseña.
Con la cuenta comprometida, los atacantes envían spam de phishing sobre criptomonedas a las listas extraídas, alertando sobre acciones urgentes como “Coinbase está pasando a billeteras autogestionadas”.
El correo incluye una frase semilla de Coinbase, solicitando al usuario que la ingrese en una nueva billetera de criptomonedas como parte de una actualización o migración.
Los riesgos y la estafa detrás de la frase semilla falsa
El problema surge cuando la víctima cree que está creando una nueva billetera con una frase semilla segura generada por Coinbase.
Aunque está usando una frase semilla que ya está bajo el control de los atacantes, lo que permite a estos acceder y drenar la billetera.
Al transferir sus criptomonedas a esa billetera, las víctimas entregan sus activos digitales directamente a los atacantes, quienes luego transfieren los fondos.
Consejos de seguridad para proteger tu billetera de criptomonedas ⚠️
- Nunca uses una frase semilla proporcionada por otro. Una plataforma legítima nunca enviará una frase semilla pre-generada.
- Si recibes correos electrónicos urgentes, ignóralos y accede al sitio web de la plataforma directamente, no a través de enlaces incrustados en el correo.
- Genera siempre tus propias frases semilla cuando crees una billetera nueva y nunca las compartas con nadie más.