Une campagne de phishing à grande échelle baptisée « PoisonSeed » compromet les comptes de marketing par e-mail des entreprises pour distribuer des e-mails contenant des phrases de départ cryptographiques utilisées pour vider les portefeuilles de crypto-monnaie.
Selon SilentPush, la campagne cible Coinbase et Ledger en utilisant des comptes compromis chez Mailchimp, SendGrid, HubSpot, Mailgun et Zoho.
Les chercheurs associent la campagne à des incidents récents, tels que le cas de la compromission du compte Mailchimp de Troy Hunt à la fin du mois dernier et un piratage de compte Akamai SendGrid Breachtrace signalé à la mi-mars 2025, où le compte légitime a été utilisé pour envoyer des e-mails de phishing de phrase de départ Coinbase.
Bien que la campagne PoisonSeed partage des similitudes avec les opérations des acteurs de la menace CryptoChameleon et Scattered Spider, Silent Push la classe séparément en raison des différences de code et d’autres facteurs de différenciation.
Chaîne d’attaque de graines empoisonnées
La première étape de l’attaque consiste à identifier des cibles de grande valeur ayant accès à des plateformes de CRM et de messagerie en masse. Cela peut être fait en vérifiant ce que les entreprises de messagerie utilisent pour leurs newsletters ou leur marketing et en trouvant des employés occupant des postes connexes.
Ensuite, ils les ciblent avec des courriels de phishing conçus par des professionnels envoyés à partir d’adresses usurpées, les amenant vers de fausses pages de connexion hébergées sur des domaines soigneusement nommés pour paraître légitimes.
Par exemple, dans les e-mails ciblant les clients MailChimp, les auteurs de la menace utilisaient les domaines mail-chimpservices[.] com, mailchimp-sso[.] com et mailchimp-connexion[.] com.
Une fois leurs identifiants volés, les attaquants exportent des listes de diffusion et génèrent de nouvelles clés API pour conserver l’accès au compte piraté même si la victime change rapidement son mot de passe.
L’attaquant utilise ensuite le compte compromis pour envoyer du spam de phishing sur le thème de la cryptographie aux listes de diffusion extraites avec des alertes qui incitent le destinataire à agir, comme » Coinbase passe à des portefeuilles auto-dépositaires.’
L’e-mail de phishing comprend une phrase de départ du portefeuille Coinbase, indiquant à l’utilisateur de l’entrer dans un nouveau portefeuille cryptographique dans le cadre d’une mise à niveau ou d’une migration. Si la victime suit cette instruction et y transfère ses actifs, elle « empoisonne » essentiellement son portefeuille, permettant aux acteurs de la menace d’y accéder et de les vider.
En effet, lors de la création d’un nouveau portefeuille, la victime n’utilise pas une phrase de départ sécurisée et pré-générée de l’entreprise (Coinbase) comme on le lui fait croire, mais en utilise une pour un portefeuille déjà sous le contrôle des attaquants.
Transférer leur crypto dans ce portefeuille revient essentiellement à remettre tous leurs actifs numériques à l’attaquant, qui peut ensuite transférer les fonds.
La meilleure façon de traiter les demandes urgentes arrivant par e-mail est de les ignorer et de vous connecter indépendamment (pas en cliquant sur les liens intégrés) à la plateforme revendiquée et de vérifier s’il y a des alertes en attente pour votre compte.
Les utilisateurs de portefeuilles de crypto-monnaie ne doivent jamais utiliser une phrase de départ fournie par quelqu’un d’autre, car une plate-forme légitime n’enverra jamais une phrase de départ pré-générée. Les utilisateurs doivent toujours générer leurs propres phrases de départ lors de la création d’un nouveau portefeuille et ne jamais les partager avec qui que ce soit d’autre.