Злоумышленники получили доступ к внутреннему инструменту техподдержки MailChimp.
Как ранее сообщал SecurityLab, на прошлых выходных многие пользователи аппаратных кошельков Trezor стали получать по электронной почте поддельные уведомления об утечке данных. В уведомлениях говорилось, что пользователи должны сбросить PIN-коды своих кошельков, для чего им якобы нужно установить новую версию ПО Trezor Suite. После установки поддельное ПО похищало сид-фразу для восстановления кошелька и передавало ее злоумышленникам.
Позднее представители Trezor сообщили, что фишинговые сообщения рассылались с платформы MailChimp, скомпрометированной инсайдером, который атаковал криптовалютные компании.
Директор по информационной безопасности MailChimp Шивон Смайт (Siobhan Smyth) подтвердила изданию TechCrunch, что платформа обнаружила взлом 26 марта 2022 года. Злоумышленники получили доступ к инструменту, использующемуся сотрудниками техподдержки и командой администрирования учетных записей. Сама MailChimp стала жертвой мошенничества с использованием техник социальной инженерии, направленного на ее персонал. В результате мошенникам удалось получить учетные данные одного из сотрудников.
По словам Смайт, компания отключила скомпрометированной учетной записи сотрудника доступ к корпоративной сети и приняла дополнительные меры для предотвращения распространения атаки на других сотрудников.
«Когда нам становится известно о каком-либо неавторизованном доступе к учетной записи, мы сразу же уведомляем об этом ее владельца и незамедлительно принимаем меры для предотвращения дальнейшего доступа. Мы также рекомендуем нашим пользователям включить двухфакторную аутентификацию и другие настройки безопасности учетных записей и паролей», - сообщила Смайт.
По данным BleepingComputer, злоумышленники скомпрометировали 319 учетных записей MailChimp и экспортировали «данные об аудитории» из 102 клиентских аккаунтов. Кроме того, они получили доступ к ключам API неизвестного количества пользователей, и компании пришлось их отключить.
С помощью ключей API злоумышленники могли осуществлять фишинговые атаки даже без доступа к клиентскому порталу MailChimp.
В настоящее время компания уже уведомила затронутых пользователей в криптовалютном и финансовом секторе.
Одно найти легче, чем другое. Спойлер: это не темная материя