Uma campanha maliciosa chamada PoisonSeed está explorando credenciais comprometidas de ferramentas de CRM e provedores de e-mail em massa para disseminar mensagens de spam com frases-semente de criptomoedas, com o objetivo de esvaziar carteiras digitais das vítimas. Segundo a empresa de segurança Silent Push, o golpe consiste em convencer os alvos a copiar e colar frases-semente fornecidas nos e-mails para criar novas carteiras de criptomoedas. Posteriormente, os criminosos usam essas mesmas frases para assumir o controle das carteiras e roubar os fundos.

O ataque não se limita a entusiastas de criptoativos: empresas e indivíduos fora do setor também são visados. Empresas como Coinbase e Ledger, e serviços como Mailchimp, SendGrid, Hubspot, Mailgun e Zoho foram identificados como alvos. Os criminosos criam páginas de phishing que imitam as plataformas legítimas para roubar credenciais de acesso. Com essas credenciais, eles geram chaves de API para manter o acesso, mesmo após trocas de senha. Com os acessos em mãos, os operadores exportam listas de contatos e enviam e-mails com instruções fraudulentas para configurar novas carteiras da Coinbase usando frases-semente falsas.

Apesar de haver conexões com os grupos Scattered Spider e CryptoChameleon — como o uso de domínios já associados a esses atores — o kit de phishing do PoisonSeed é distinto, sugerindo um novo grupo ou uma variação das táticas anteriores. Em paralelo, outro grupo de idioma russo está usando páginas de phishing hospedadas no Cloudflare Pages.Dev para distribuir malware capaz de controlar sistemas Windows remotamente. Esses ataques usam arquivos LNK disfarçados de PDFs, que, ao serem abertos, se conectam a bots no Telegram e migram para o comando Pyramid C2 para controle total do dispositivo.