FURTO DI DATI

Data breach Mailchimp: è allarme per il phishing a tema criptovalute

Sono stati violati i sistemi della società di email marketing Mailchimp e compromessi 300 account di utenti del servizio di crypto-wallet Trezor, che hanno poi segnalato di aver ricevuto email di phishing contenenti un malware in grado di rubare dati finanziari e sensibili. Analizziamo i dettagli

06 Apr 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

La società di email marketing Mailchimp ha confermato oggi di aver subito un attacco alla propria infrastruttura. Un gruppo criminale malevolo è riuscito a infiltrarsi nei propri server al fine di accedere a dati e informazioni sensibili sui clienti.

A farne le spese gli utenti di Trezor, un noto servizio di crypto-wallet che ha poi segnalato l’invio di un’e-mail truffa proveniente dal proprio dominio trezor.us e contenente un malware in grado di rubare i dati delle vittime.

Come si è propagato l’attacco a MailChimp

Siobhan Smyth, direttore della sicurezza delle informazioni presso Mailchimp, ha affermato che il team di sicurezza ha rilevato attività dannose sui sistemi della società il 26 marzo scorso, quando ha scoperto che uno strumento impiegato dai sistemi di assistenza clienti veniva utilizzato senza autorizzazione.

WEBINAR
26 Maggio 2022 - 12:00
Sicurezza IT e identità digitali: come essere pronti ai nuovi trend in azienda
Dematerializzazione
Marketing

Subito dopo questa scoperta nei sistemi di MailChimp, gli utenti del portafoglio crittografico Trezor, un dispositivo hardware che consente agli utenti di archiviare la propria criptovaluta offline, hanno iniziato a segnalare su Twitter la ricezione di strane e-mail su un incidente di sicurezza subito dall’azienda.

È apparso subito chiaro che si trattava di una campagna di phishing mirato al furto di dati sensibili e finanziari degli utenti.

Una campagna partita appositamente come conseguenza dell’attacco a Mailchimp, all’interno del quale Trezor ospitava una mailing list di newsletter, immediatamente abusata per aumentare l’impatto dell’attacco e impattare sui proprietari di wallet di criptovaluta.

Il messaggio di phishing che prende di mira Trezor

Come spesso abbiamo notato, un attacco informatico condotto verso un’azienda non è fine a sé stesso, ma punta a raggiungere obiettivi collaterali spesso difficilmente prevedibili.

È anche questo il caso proprio perché, una volta all’interno dei sistemi Mailchimp, gli attaccanti hanno potuto continuare la propria condotta illecita colpendo clienti di interesse maggiore, ospitati all’interno del servizio di crypto-wallet Trezor.

Nei messaggi dannosi, gli attaccanti cercavano di indurre gli utenti Trezor a reimpostare i PIN del proprio portafoglio hardware scaricando un finto tool di aggiornamento dannoso che, se fosse stato installato, avrebbe potuto consentire agli operatori malevoli di rubare milioni di dollari in criptovaluta.

L’entità dell’attacco e la posizione dell’azienda

Sebbene la società affermi che l’incidente sia stato adeguatamente affrontato, è stato confermato che gli attori delle minacce hanno avuto accesso a circa 300 account Mailchimp, estraendo dozzine di record.

Sebbene Mailchimp non abbia aggiunto ulteriori dettagli sulle informazioni compromesse, è stato ufficiosamente menzionato che questi dati appartengono tutti a due grandi insiemi di settori societari: criptovaluta e analisi finanziarie.

Un dettaglio, questo, che lascia intendere quale fosse l’obiettivo primario dell’attacco: colpire chi gestisce wallet e criptovaluta, quindi con un chiaro movente economico e di furto di valori.

“Abbiamo agito rapidamente per affrontare la situazione, annullando l’accesso agli account compromessi e adottando misure per impedire che altri dipendenti venissero colpiti”, ha affermato alla stampa sempre Smyth.

Oltre a visualizzare gli account ed esportare i dati, gli attori delle minacce hanno ottenuto l’accesso alle chiavi API per un numero imprecisato di clienti, consentendo agli hacker di inviare e-mail contraffatte che sono già state disabilitate.

Smyth ha affermato che Mailchimp ha ricevuto alcune segnalazioni secondo le quali sono state utilizzate le informazioni ottenute dagli account degli utenti per inviare campagne di phishing a migliaia di altre potenziali vittime della truffa.

Questa, come abbiamo potuto toccare con mano durante la nostra analisi di quanto successo, è la naturale conseguenza di un attacco di questo genere. La portata ne consente il riutilizzo nel tempo, per rivolgersi agli utenti compromessi e condurre campagne mirate, che possono anche puntare a obiettivi differenti e non previsti, risultando ancora maggiormente insospettabili.

dal 14 al 17 giugno 2022
FORUM PA 2022. Cybersecurity: rafforzare la difesa della PA e del paese
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 5