Отрава для сид-фраз, заразная «вакансия в Coinbase» и другие события кибербезопасности

cryptocurrency-security-3.webp
Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

  • Клиенты Coinbase и Ledger стали целью фишинговой рассылки сид-фраз.
  • Хакеры КНДР притворились HR-менеджерами крупных криптобирж.
  • Члены взломавшей портал НАТО группировки предположили арест своего лидера.
Клиенты Coinbase и Ledger стали целью фишинговой рассылки сид-фразАналитики SilentPush обнаружили фишинговую кампанию PoisonSeed, рассылающую письма с сид-фразами для кражи криптовалют.

На первом этапе злоумышленники создают поддельные страницы известных платформ массовых рассылок, включая Mailchimp, SendGrid, HubSpot, Mailgun и Zoho. С их помощью они взламывают корпоративные почтовые аккаунты различных маркетологов и уже с них отправляют спам. Хакеры фокусируются на клиентах биржи Coinbase и владельцах аппаратных кошельков Ledger.

Рассылка, как правило, представляет собой срочное оповещение, в стиле «Coinbase переходит на кошельки с самостоятельным хранением» и содержит сид-фразу. Последнюю предлагается ввести при создании нового криптокошелька якобы для «безопасного перевода активов» в рамках обновления или миграции.

image-671-651x1024.webp
Если жертва следует этой инструкции, злоумышленник получает полный контроль над ее средствами.

Хакеры КНДР притворились HR-менеджерами крупных криптобирж

Эксперты Sekoia указали на новую тактику ClickFix, к которой начала прибегать северокорейская хакерская группировка Lazarus Group для атак на соискателей работы в сфере ИИ и криптовалют.

Специалисты получают приглашения с поддельных сайтов для собеседований. При переходе на них и просмотре контента пользователи сталкиваются с ошибками. Страница предлагает «исправить» проблему, запустив команды PowerShell, которые загружают вредоносное ПО.

В ходе этой кампании хакеры выдают себя за известные криптопроекты, включая Coinbase, KuCoin, Kraken, Circle, Securitize, BlockFi, Tether, Robinhood и Bybit.

image-673-1024x809.webp
Помимо хищения криптовалют, вредонос способен выполнять файловые операции, команды оболочки, красть файлы cookie, историю просмотров и сохраненные пароли, а также собирать системные метаданные.

Члены взломавшей портал НАТО группировки предположили арест своего лидераОдин из членов хакерской группировки SiegedSec, ответственной за взлом портала НАТО, аналитического центра The Heritage Foundation и ядерной лаборатории в Айдахо, предположил, что ФБР провело обыск в доме их лидерки под ником vio и арестовало ее. Об этом сообщает Daily Dot со ссылкой на твит от 26 марта.

https://twitter.com/i/web/status/1905042931137773694
Reuters со ссылкой на источники сообщил, что сделку приостановила китайская сторона после введения 54% пошлин на ввоз их товаров в США.