حملة PoisonSeed: استغلال حسابات CRM لشن هجمات “تسميم عبارات الاسترداد” في العملات الرقمية

حملة PoisonSeed: استغلال حسابات CRM لشن هجمات "تسميم عبارات الاسترداد" في العملات الرقمية
حملة PoisonSeed: استغلال حسابات CRM لشن هجمات "تسميم عبارات الاسترداد" في العملات الرقمية
شارك هذا الخبر

كشفت شركة Silent Push عن حملة سيبرانية خبيثة جديدة تُعرف باسم PoisonSeed، تستغل بيانات اعتماد مسروقة من أدوات إدارة علاقات العملاء (CRM) ومنصات البريد الإلكتروني الجماعي لإرسال رسائل غير مرغوب فيها تحتوي على عبارات استرداد لمحافظ العملات الرقمية، وذلك بهدف سرقة أرصدة الضحايا.

وقالت الشركة في تقريرها:

“يستهدف المهاجمون ضحاياهم بهجوم يُعرف باسم تسميم عبارة الاسترداد. حيث يقدّم المهاجمون عبارة أمان مزيفة ويحثّون المستخدمين على نسخها ولصقها في محفظة عملات رقمية جديدة، مما يتيح لهم لاحقًا السيطرة الكاملة عليها وسرقة أموالها.”

من هم المستهدفون؟

لا تقتصر الهجمات على الشركات العاملة في مجال العملات الرقمية، بل تشمل أيضًا أفرادًا ومؤسسات خارج هذا المجال. من بين الأهداف:

  • شركات العملات الرقمية: مثل Coinbase وLedger

  • مزودي خدمات البريد الإلكتروني الجماعي: مثل Mailchimp، SendGrid، Hubspot، Mailgun، وZoho

كيفية تنفيذ الهجوم

  1. إنشاء صفحات تصيّد مقلدة: يقوم المهاجمون بإنشاء مواقع وهمية تحاكي الصفحات الرسمية لخدمات CRM ومنصات البريد الجماعي.

  2. سرقة بيانات الدخول: يتم استهداف الضحايا ذوي القيمة العالية لخداعهم وإدخال بياناتهم، مما يتيح للمهاجمين سرقة الحسابات.

  3. إنشاء مفتاح API للاحتفاظ بالوصول: حتى وإن قام الضحية بتغيير كلمة المرور لاحقًا.

  4. تصدير قوائم البريد الإلكتروني: باستخدام أدوات مؤتمتة.

  5. إرسال رسائل خادعة: تحتوي على عبارات استرداد مزيفة، وتحث الضحية على إنشاء محفظة جديدة باستخدامها.

  6. سرقة المحافظ الرقمية: يتم لاحقًا استخدام نفس عبارة الاسترداد للوصول إلى المحفظة وسحب الأموال.

ارتباط محتمل مع مجموعات تهديد معروفة

تشير بعض المؤشرات إلى ارتباط PoisonSeed بمجموعتي تهديد معروفَتين هما:

  • Scattered Spider

  • CryptoChameleon

ويأتي هذا بسبب استخدام نفس النطاق المزيف “mailchimp-sso[.]com”، الذي ارتبط سابقًا بهجمات على Coinbase وLedger.
ومع ذلك، تختلف أدوات التصيّد المستخدمة في PoisonSeed عن تلك الخاصة بالمجموعتين، مما يفتح الاحتمال لكونه جهة تهديد جديدة أو إصدار محدث من أدوات CryptoChameleon.

تطورات مقلقة: هجمات تصيّد باستخدام Cloudflare

في تطور آخر، لوحظ قيام جهة تهديد ناطقة بالروسية باستخدام صفحات تصيّد مستضافة على Cloudflare Pages.Dev وWorkers.Dev لتوزيع برامج ضارة قادرة على التحكم في أجهزة Windows عن بُعد.

التحذير النهائي

تؤكد هذه الحملات المتزايدة على ضرورة:

  • الحذر من رسائل البريد الاحتيالية التي تحتوي على عبارات استرداد لمحافظ العملات الرقمية.

  • عدم إدخال معلومات الدخول على أي صفحة غير موثوقة، حتى لو بدت مشابهة للمواقع الأصلية.

  • التحقق من عناوين النطاقات ومصدر الرسالة قبل اتخاذ أي إجراء.

وسوم
محمد طاهر
محمد طاهر
المقالات: 196

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة