O agente de ameaças conhecido como PoisonSeed, vagamente afiliado a grupos como Scattered Spider e CryptoChameleon, implantou um kit de phishing ativo projetado para contornar a autenticação multifator (MFA) e coletar credenciais de indivíduos e organizações.
Este kit, operacional desde abril de 2025, tem como alvo os serviços de login dos principais provedores de CRM e e-mail em massa, como Google, SendGrid e Mailchimp, permitindo que os invasores aproveitem a infraestrutura de e-mail para disseminação de spam e Golpes de criptomoeda.
As táticas do PoisonSeed envolvem e-mails de spear-phishing com links maliciosos incorporados que redirecionam as vítimas para domínios representados, onde um e-mail criptografado da vítima é anexado ao URL e armazenado como um cookie para validação do lado do servidor, um método apelidado de “Phishing validado com precisão”.
Ameaça emergente do ator PoisonSeed
O kit imita interfaces legítimas, incluindo um desafio falso do Cloudflare Turnstile, para verificar o e-mail criptografado e garantir que ele não seja banido pelo serviço de destino.
Uma vez validados, as vítimas encontram formulários de login que capturam e retransmitem credenciais para o serviço autêntico, atuando como um Adversary-in-the-Middle (AitM) para interceptar detalhes de autenticação, incluindo vários métodos 2FA, como códigos de autenticador, SMS, códigos de e-mail e chaves de API.
De acordo com Nviso relatório, isso permite que o PoisonSeed ignore as proteções de MFA, obtenha acesso não autorizado e automatize a extração de listas de e-mail para outras atividades maliciosas, como ataques de manipulação de frases iniciais em carteiras de criptomoedas.
Desenvolvido usando React, o kit de phishing apresenta uma arquitetura estruturada com componentes como App.jsx para proteção de rotas, TurnstileChallenge.jsx para verificação inicial de bots com atrasos anti-automação e formulários especializados para login e tratamento de 2FA.
Detalhamento técnico
Por exemplo, o kit emprega Axios para chamadas de API para endpoints como /check-email e /login, retransmitindo dados para serviços legítimos durante a captura Cookies de sessão.
Ele suporta redirecionamento dinâmico com base em status HTTP (por exemplo, 200 para sucesso, 202 para processamento), garantindo operações AitM perfeitas.
A análise da infraestrutura revela padrões consistentes: todos os domínios são registrados via NICENIC, um registrador notório por atividades maliciosas, e hospedados principalmente na Cloudflare, com provedores adicionais como DE-Firstcolo e SWISSNETWORK02.
Os servidores de nomes aproveitam o Cloudflare e o Bunny.net, facilitando a ofuscação. As oportunidades de busca incluem consultas URLScan direcionadas a nomes de arquivos de API, parâmetros de URL e nomes de cookies, juntamente com verificações SilentPush WHOIS para domínios sem determinados campos e registrados após março de 2025.
As estratégias de prevenção enfatizam a adoção de MFA resistente a phishing, como chaves FIDO2, eliminando métodos vulneráveis, como SMS, e aprimorando a detecção de anomalias para logins suspeitos e exportações em massa.
À medida que o PoisonSeed continua a evoluir, alinhando-se com os TTPs da comunidade “The Com”, as organizações devem priorizar a conscientização do usuário e o monitoramento robusto para mitigar essas ameaças que ignoram o MFA.
Indicadores de comprometimento
| Exemplo de domínio |
|---|
| dispositivo-sendgrid[.]com |
| navegar-enviar grade[.]com |
| https-sendgrid[.]com |
| rede de envio de grade[.]com |
| sso-sendgridnetwork[.]com |
Ache esta notícia interessante! Siga-nos noGoogle Notícias,LinkedIneXpara obter atualizações instantâneas!