La società di email marketing Mailchimp ha confermato oggi di aver subito un attacco alla propria infrastruttura. Un gruppo criminale malevolo è riuscito a infiltrarsi nei propri server al fine di accedere a dati e informazioni sensibili sui clienti.
A farne le spese gli utenti di Trezor, un noto servizio di crypto-wallet che ha poi segnalato l’invio di un’e-mail truffa proveniente dal proprio dominio trezor.us e contenente un malware in grado di rubare i dati delle vittime.
Indice degli argomenti
Come si è propagato l’attacco a MailChimp
Siobhan Smyth, direttore della sicurezza delle informazioni presso Mailchimp, ha affermato che il team di sicurezza ha rilevato attività dannose sui sistemi della società il 26 marzo scorso, quando ha scoperto che uno strumento impiegato dai sistemi di assistenza clienti veniva utilizzato senza autorizzazione.
Subito dopo questa scoperta nei sistemi di MailChimp, gli utenti del portafoglio crittografico Trezor, un dispositivo hardware che consente agli utenti di archiviare la propria criptovaluta offline, hanno iniziato a segnalare su Twitter la ricezione di strane e-mail su un incidente di sicurezza subito dall’azienda.
È apparso subito chiaro che si trattava di una campagna di phishing mirato al furto di dati sensibili e finanziari degli utenti.
Una campagna partita appositamente come conseguenza dell’attacco a Mailchimp, all’interno del quale Trezor ospitava una mailing list di newsletter, immediatamente abusata per aumentare l’impatto dell’attacco e impattare sui proprietari di wallet di criptovaluta.
MailChimp have confirmed that their service has been compromised by an insider targeting crypto companies.
We have managed to take the phishing domain offline. We are trying to determine how many email addresses have been affected. 1/
— Trezor (@Trezor) April 3, 2022
Il messaggio di phishing che prende di mira Trezor
Come spesso abbiamo notato, un attacco informatico condotto verso un’azienda non è fine a sé stesso, ma punta a raggiungere obiettivi collaterali spesso difficilmente prevedibili.
È anche questo il caso proprio perché, una volta all’interno dei sistemi Mailchimp, gli attaccanti hanno potuto continuare la propria condotta illecita colpendo clienti di interesse maggiore, ospitati all’interno del servizio di crypto-wallet Trezor.
Nei messaggi dannosi, gli attaccanti cercavano di indurre gli utenti Trezor a reimpostare i PIN del proprio portafoglio hardware scaricando un finto tool di aggiornamento dannoso che, se fosse stato installato, avrebbe potuto consentire agli operatori malevoli di rubare milioni di dollari in criptovaluta.
L’entità dell’attacco e la posizione dell’azienda
Sebbene la società affermi che l’incidente sia stato adeguatamente affrontato, è stato confermato che gli attori delle minacce hanno avuto accesso a circa 300 account Mailchimp, estraendo dozzine di record.
Sebbene Mailchimp non abbia aggiunto ulteriori dettagli sulle informazioni compromesse, è stato ufficiosamente menzionato che questi dati appartengono tutti a due grandi insiemi di settori societari: criptovaluta e analisi finanziarie.
Un dettaglio, questo, che lascia intendere quale fosse l’obiettivo primario dell’attacco: colpire chi gestisce wallet e criptovaluta, quindi con un chiaro movente economico e di furto di valori.
“Abbiamo agito rapidamente per affrontare la situazione, annullando l’accesso agli account compromessi e adottando misure per impedire che altri dipendenti venissero colpiti”, ha affermato alla stampa sempre Smyth.
Oltre a visualizzare gli account ed esportare i dati, gli attori delle minacce hanno ottenuto l’accesso alle chiavi API per un numero imprecisato di clienti, consentendo agli hacker di inviare e-mail contraffatte che sono già state disabilitate.
Smyth ha affermato che Mailchimp ha ricevuto alcune segnalazioni secondo le quali sono state utilizzate le informazioni ottenute dagli account degli utenti per inviare campagne di phishing a migliaia di altre potenziali vittime della truffa.
Questa, come abbiamo potuto toccare con mano durante la nostra analisi di quanto successo, è la naturale conseguenza di un attacco di questo genere. La portata ne consente il riutilizzo nel tempo, per rivolgersi agli utenti compromessi e condurre campagne mirate, che possono anche puntare a obiettivi differenti e non previsti, risultando ancora maggiormente insospettabili.
