Производитель аппаратных криптовалютных кошельков Trezor сообщил, что его клиенты стали мишенью так называемых «фишинговых» атак после того, как Mailchimp, поставщик услуг автоматизации электронной почты фирмы, был «скомпрометирован инсайдером, нацеленным на криптовалютные компании».

«В настоящее время мы изучаем, сколько клиентов могло быть затронуто инсайдерской компрометацией базы данных информационных бюллетеней, размещенной на Mailchimp», — написал Трезор сегодня в своем блоге, добавив:

«Команда безопасности Mailchimp сообщила, что злоумышленник получил доступ к внутреннему инструменту, используемому командами, работающими с клиентами, для поддержки клиентов и администрирования учетных записей. Злоумышленник получил доступ к этому инструменту в результате успешной атаки социальной инженерии на сотрудников Mailchimp».

Обновление статуса продолжающейся фишинговой атаки: https://t.co/IXq1I3Y1i7

— Трезор (@Trezor) 4 апреля 2022 г.

Держите свое приложение рядом, держите исходную фразу ближе

Кроме того, Трезор отметил, что злоумышленник специально нацелен на компании, связанные с криптографией. В результате в воскресенье, 3 апреля, пользователи его кошельков начали получать фишинговые электронные письма с просьбой щелкнуть ссылку, ведущую на страницу загрузки «приложения, похожего на Trezor Suite».

Копия фишингового письма. Изображение: Трезор
Копия фишингового письма. Изображение: Трезор

Если ничего не подозревающий пользователь попадает в эту ловушку, вредоносное приложение затем запрашивает его начальную фразу — по сути, закрытый ключ, который дает злоумышленникам полный доступ к их криптоактивам. После ввода сид-фраза скомпрометирована, и средства пользователей немедленно переводятся в кошелек злоумышленников.

«Эта атака уникальна по своей сложности и явно спланирована с высокой степенью детализации. Фишинговое приложение представляет собой клонированную версию Trezor Suite с очень реалистичной функциональностью, а также включает веб-версию приложения».

MailChimp подтвердил, что их сервис был скомпрометирован инсайдером, нацеленным на криптокомпании.

Нам удалось отключить фишинговый домен. Мы пытаемся определить, сколько адресов электронной почты было затронуто. 1/

— Трезор (@Trezor) 3 апреля 2022 г.

К счастью, поскольку потенциальным жертвам приходится фактически устанавливать вредоносное ПО на свои устройства (хотя есть и веб-версия), современные операционные системы должны предупреждать их о неизвестном источнике. «Это предупреждение нельзя игнорировать, все официальное программное обеспечение имеет цифровую подпись SatoshiLabs», — отметил Трезор.

Будьте бдительны

По словам Трезора, компания уже закрыла фишинговый домен. Однако, если некоторые пользователи все-таки ввели свои сид-фразы, им следует немедленно переместить свою криптовалюту на вновь сгенерированный адрес (если, конечно, еще не поздно).

«Если вы не получили такое электронное письмо, все еще существует вероятность того, что ваш адрес электронной почты был украден, поэтому лучше сохранять бдительность на случай появления новой волны электронных писем. Скомпрометированные адреса электронной почты могут быть снова атакованы в будущем, поэтому, пожалуйста, сообщите об этом. любые новые попытки фишинга напрямую на [email protected]"

Пока эта проблема не будет решена, производитель кошелька прекратил любую деятельность по рассылке новостей. Кроме того, пользователи должны «не открывать никакие электронные письма, кажущиеся исходящими от Trezor, до дальнейшего уведомления» и убедиться, что они используют анонимные адреса электронной почты для «деятельности, связанной с биткойнами», — призвала фирма.

Источник