In der heutigen digitalen Welt gewinnt die Sicherheit von Kryptowährungen immer mehr an Bedeutung. Mit dem Anstieg von digitalen Vermögenswerten steigen jedoch auch die Bedrohungen und Angriffe, die darauf abzielen, diese Werte zu stehlen oder zu kompromittieren. Eine der jüngsten und besorgniserregendsten Bedrohungen ist die sogenannte PoisonSeed-Kampagne, die gezielt Kundenbeziehungsmanagement-Konten (CRM) ausnutzt, um sogenannte Seed-Phrase-Poisoning-Angriffe durchzuführen. Diese neue Angriffsmethode stellt für viele Unternehmen und Einzelpersonen eine ernsthafte Gefahr dar und verändert die Landschaft der Cyberkriminalität in Bezug auf Kryptowährungen grundlegend. PoisonSeed greift vor allem durch kompromittierte Zugangsdaten von CRM-Plattformen und großen Bulk-E-Mail-Dienstleistern an.
Zu den betroffenen Diensten zählen bekannte Namen wie Mailchimp, SendGrid, Hubspot, Mailgun und Zoho, die von vielen Unternehmen weltweit verwendet werden, um ihre Kommunikationsprozesse zu steuern. Indem die Angreifer Zugang zu diesen Plattformen erlangen, können sie massenhafte Spam-Nachrichten versenden, die manipulierte Seed-Phrasen enthalten. Diese Seed-Phrasen werden absichtlich so gestaltet, dass sie potenzielle Opfer dazu verleiten, sie in neue Kryptowährungs-Wallets einzufügen und so ihre digitalen Vermögenswerte freizugeben. Was genau ist eine Seed-Phrase? Im Kontext von Kryptowährungen ist eine Seed-Phrase eine Reihe von Wörtern, die als Zugangsschlüssel für die Verwaltung und Wiederherstellung einer Wallet fungieren. Sie ist äußerst sensibel, da jeder, der Zugriff auf diese Phrase hat, die Kontrolle über die gesicherten Krypto-Vermögenswerte übernehmen kann.
Die Angreifer von PoisonSeed missbrauchen dieses Vertrauen, indem sie den Opfern vorgeben, es handle sich um legitime Sicherheitsinformationen, die zur Wiederherstellung oder Einrichtung einer Wallet notwendig sind. Dabei setzen sie auf Social-Engineering-Techniken und täuschend echte E-Mail-Designs, um ihre Opfer in die Falle zu locken. Die Infektionskette beginnt meist mit dem gezielten Phishing von Mitarbeitern gut bewerteter Unternehmen und Organisationen, die Zugang zu CRM- oder E-Mail-Tools besitzen. Die Angreifer erstellen dabei täuschend echte Nachahmungen von Anmeldeseiten bekannter Dienste, um die eingegebenen Zugangsdaten abzugreifen. Die Nutzung von API-Schlüsseln stellt sicher, dass auch nach einem Passwortwechsel weiterhin Zugang besteht, was die Erkennung und Reaktion erheblich erschwert.
Mit Zugriff auf diese Konten exportieren die Kriminellen umfangreiche Kontaktlisten und versenden automatisiert ihre Spam-Nachrichten, die die manipulierten Seed-Phrasen enthalten. Die Opfer werden so gezielt aufgefordert, eine neue Coinbase-Wallet anzulegen und dabei die erhaltene Seed-Phrase zu verwenden. Das Ziel dahinter ist klar: Sobald das Opfer die Seed-Phrase verwendet, bekommt der Angreifer Zugriff auf die neu erstellte Wallet und kann alle darauf befindlichen Kryptowährungen abziehen. Besonders erschreckend ist, dass sich die Kampagne nicht nur gegen Kryptowährungsexperten richtet, sondern auch Personen und Unternehmen ohne tiefes technisches Verständnis oder ohne direkten Bezug zur Krypto-Welt ins Visier nimmt. Dies zeigt, wie breitgefächert und durchdacht die Attacke ist.
Die Verbindungen zwischen PoisonSeed und anderen bekannten Cyberkriminalitätsgruppen wie Scattered Spider und CryptoChameleon deuten auf eine komplexe Untergrund-Ökonomie hin, in der verschiedene Gruppen ähnliche Werkzeuge oder Infrastruktur nutzen, um ihre Aktivitäten zu verschleiern und auszubauen. Die Angreifer nutzen unter anderem die Domain mailchimp-sso[.]com, die bereits im Zusammenhang mit anderen Kampagnen bekannt ist. Dies lässt auf Überschneidungen oder gemeinsame Ressourcen zwischen unterschiedlichen Gruppen schließen. Gleichzeitig scheint das von PoisonSeed verwendete Phishing-Kit eigenständig und neuartig zu sein, was es schwer macht, die Angriffe mit bestehenden Methoden und Gegenmaßnahmen einzuordnen oder frühzeitig zu erkennen.
Neben der reinen Wallet-Übernahme wird von Forschern auch beobachtet, dass russischsprachige Angreifer in Verbindung mit dieser Kampagne Phishing-Seiten auf Cloudflare-Plattformen hosten, um zusätzlich Schadsoftware zu verbreiten. Diese Schadsoftware kann Windows-Rechner fernsteuern und weitere schädliche Aktivitäten ermöglichen. Der Einsatz von Techniken wie dem Missbrauch des MS-Search-Protokolls zur Auslieferung von schädlichen Dateien trägt zur erhöhten Gefährlichkeit der Kampagne bei. Die komplexe Vorgehensweise und die multifunktionale Nutzung von kompromittierten Accounts und Infrastruktur zeigt die wachsende Professionalität und den hohen finanziellen Anreiz hinter solchen Angriffen. Denn das Abgreifen von Kryptowährungen bedeutet für die Täter einen direkten und oft schwer rückverfolgbaren Gewinn.
Unternehmen und Nutzer sind daher gut beraten, ihre Sicherheitsmechanismen stetig zu überprüfen und anzupassen. Präventive Maßnahmen gegen PoisonSeed und ähnliche Angriffe erfordern ein ganzheitliches Sicherheitskonzept. Dazu gehört nicht nur die regelmäßige Überprüfung und Aktualisierung von Zugangsdaten sowie die Nutzung von Multi-Faktor-Authentifizierung, sondern auch eine erhöhte Sensibilisierung aller Mitarbeiter für Phishing-Angriffe und Social Engineering. E-Mail-Filter sollten sorgfältig konfiguriert werden, um verdächtige Nachrichten frühzeitig abzufangen. Zudem empfiehlt es sich, die Aktivitäten innerhalb von CRM- und E-Mail-Systemen zu überwachen, um ungewöhnliche Zugriffsmuster oder Massenversand von Nachrichten zu erkennen.
Auch für private Krypto-Nutzer ist Vorsicht geboten. Seed-Phrasen sollten niemals per E-Mail oder über andere unsichere Kanäle geteilt werden. Wallets sollten immer mit vertrauenswürdiger Software installiert und verwendet werden. Der Umgang mit Wiederherstellungsphrasen erfordert höchste Sorgfalt und deren Aufbewahrung an sicheren, offline zugänglichen Orten. Zusammenfassend stellt die PoisonSeed-Kampagne eine ernsthafte Bedrohung für die Kryptowährungs-Community dar.
Die Kombination aus technischen Angriffsmethoden und ausgeklügeltem Social Engineering macht sie besonders tückisch. Unternehmen, die CRM- und Bulk-E-Mail-Dienste nutzen, sollten wachsam sein und geeignete Schutzmaßnahmen schnell implementieren. Für jeden Nutzer von Kryptowährungen gilt es, sich umfassend über sichere Praktiken zu informieren, um nicht Opfer dieser raffinerten Angriffe zu werden. Nur durch gemeinsames und kontinuierliches Engagement kann die Gemeinschaft den Schaden durch solche Cyberkriminalitätsformen minimieren und die Sicherheit digitaler Vermögenswerte gewährleisten.
