Trung tuần tháng 4, theo thông tin từ Decrypt, các chuyên gia an ninh mạng đã phát hiện một cuộc tấn công bằng mã độc kép nhắm vào người dùng trong và ngoài ngành tiền điện tử. Công ty tình báo mạng Silent Push công bố báo cáo mới nhất về hoạt động độc hại, gọi tên là PoisonSeed. Phương pháp tấn công đầu tiên là giả mạo các trang đăng nhập của nhà cung cấp dịch vụ thư điện tử hàng loạt như Mailchimp và SendGrid nhằm đánh cắp thông tin xác thực của người dùng. Kẻ tấn công gửi email giả mạo, tuyên bố rằng tài khoản người dùng bị giới hạn, khiến họ đăng nhập vào một trang web giả lập có độ bắt chước cao.
Sau khi có được thông tin xác thực, kẻ tấn công nhanh chóng trích xuất danh sách đăng ký email. Tiếp theo, chúng dùng danh sách đánh cắp để giả danh Coinbase, gửi email lừa đảo tới các liên hệ của nạn nhân, thông báo rằng sàn giao dịch đang “chuyển sang ví tự quản lý”, kèm theo cụm 12 từ ghi nhớ đánh lừa người dùng nhập ví, thực chất để hacker kiểm soát tài sản của họ.
Troy Hunt, giám đốc khu vực của Microsoft, đã bị tấn công do sự mệt mỏi và lệch múi giờ. Mặc dù đã kịp thời thay đổi mật khẩu, danh sách đăng ký gồm 56.000 người dùng đã bị đánh cắp. Hunt nhận xét rằng email lừa đảo được thiết kế rất tinh vi, sử dụng nỗi sợ “không thể gửi bản tin” để tạo cảm giác cấp bách, nhưng không phóng đại mối đe dọa, khiến việc phòng thủ trở nên khó khăn.
Mặc dù PoisonSeed sử dụng tên miền tương tự các tổ chức Scattered Spider và CryptoChameleon, từng nhằm vào người dùng Coinbase và Ledger, Silent Push đưa ra nhận định rằng, đây có thể là một kẻ tấn công độc lập đứng sau toàn bộ hoạt động này.