Bedreigingsanalisten hebben een slimme, tweeledige malwarecampagne opgedoken die zowel crypto-gebruikers als daarbuiten genadeloos in de tang neemt. Het cyberintelligencebedrijf Silent Push doopte deze aanval ‘PoisonSeed’, en de werkwijze is even geraffineerd als brutaal.
Fase één: Contentmakers in de val
Het begint allemaal bij bulk-e-maildiensten zoals Mailchimp en SendGrid. Contentmakers krijgen een nepbericht in hun inbox, zogenaamd van hun eigen platform, met de melding dat hun account is beperkt. Via een link belanden ze op een valse website – zo perfect nagemaakt dat Silent Push het ‘pixelperfect’ noemt. Wie zijn inloggegevens invult, is de pineut. Binnen no-time worden hun mailinglijsten gedownload, en dat gaat razendsnel. Volgens Silent Push is dit proces zo efficiënt dat het haast zeker geautomatiseerd is.
Fase twee: Crypto-slachtoffers aan zet
Dan komt de genadeslag. De gestolen mailinglijsten worden ingezet om abonnees te bombarderen met phishing-mails die zogenaamd van Coinbase komen. De boodschap? De beurs zou overstappen op ‘self-custodial wallets’. Er wordt doodleuk een seedzin van 12 woorden meegeleverd, met de oproep die in je account te importeren. Wie dat doet, kan fluiten naar zijn crypto – kwaadwillenden krijgen direct vrij spel om je wallet leeg te roven.
Een slachtoffer spreekt
Een van de getroffen Mailchimp-klanten was Troy Hunt, Microsoft-regiodirecteur en een bekende naam in tech. Hij kreeg de phishing-mail op een moment dat hij kapot was van een jetlag. “Ik was doodmoe en kwetsbaar”, vertelt hij. Hoewel hij snel doorhad dat er iets niet klopte en zijn wachtwoord veranderde, was het kwaad al geschied: zijn mailinglijst was weg. Achteraf is hij onder de indruk van de finesse. Hij zegt:
“Het was subtiel. Geen overdreven paniekzaaierij, maar precies genoeg urgentie om me te laten happen. Die sociale manipulatie zat verdomd goed in elkaar.”
Wie zit erachter?
Silent Push linkt PoisonSeed niet direct aan bekende groepen zoals Scattered Spider of CryptoChameleon, ook al gebruiken die vergelijkbare phishingdomeinen en hebben ze eerder Coinbase- en Ledger-gebruikers belaagd. Dit lijkt een op zichzelf staande, goed geoliede operatie. Wat het extra zorgwekkend maakt: niet alleen crypto-hodlers moeten op hun hoede zijn, maar ook contentmakers met een groot bereik. Eén misstap, en je hele publiek kan in de vuurlinie belanden.
Blijf scherp
Dit is een wake-upcall. Of je nu je portfolio beheert of een nieuwsbrief runt, dit soort social engineering-scams zijn slimmer dan ooit. De PoisonSeed-campagne bewijst dat de grens tussen slachtoffer en doorgeefluik flinterdun is. Check die mail nog een keer voor je klikt – je wallet zal je dankbaar zijn.
