Pazar günü açıklanan e-posta pazarlama firması MailChimp, iç müşteri desteğine erişen bilgisayar korsanları ve izleyici verilerini çalmak ve kimlik avı saldırıları yapmak için hesap yönetimi araçlarına ulaşan bilgisayar korsanları tarafından vuruldukları için açıklanmıştır.
Pazar sabahı, Twitter, şirketin bir veri ihlal ettiğini iddia eden Phishing bildirimleri alan Trezor Hardware Cryptocurrency Cüzdanlarından gelen raporlarla abuzz edildi.
Bu e-postalar Trezort müşterilerinin, depolanan kriptişleri çalmaya izin veren kötü amaçlı yazılımı indirerek donanım cüzdan pinlerini sıfırlamalarını istedi.
Trezor daha sonra, PostaChimp'in, kimlik avı saldırısını yürüten Cryptocurrency Endüstrisini hedef alan tehdit aktörleri tarafından tehlikeye atıldığını paylaştı.
BleepingComputer'a bir e-postada, MailChimp, ihlalin trezor'un hesabına tehdit aktörleri tarafından erişildiğinden daha önemli olduğunu doğruladı.
MailChimp'e göre, çalışanlarından bazıları, kimlik bilgilerinin çalınmasına yol açan bir sosyal mühendislik saldırısı için düştü.
"26 Mart'ta, güvenlik ekibimiz, MAILCHIMP CISO, Siobhan Smyth," Müşteri Destek ve Hesap Yönetimi için Müşteri Destekleri ve Hesap Yönetimi için kullanılan iç araçlarımızdan birine erişen kötü amaçlı bir aktörün farkındaydı. "Dedi.
"Olay, MailChimping çalışanlarına başarılı bir sosyal mühendislik saldırısı yapan, çalışan kimlik bilgilerinin tehlikeye atılmasına neden olan bir dış aktör tarafından yayıldı."
"Uzgılanmış çalışan hesaplarına erişimin sonlandırılmasıyla durumu ele almak için hızlı bir şekilde hareket ettik ve ek çalışanların etkilenmesini önlemek için adımlar attık."
Bu kimlik bilgileri, 319 mailchimp hesabına erişmek ve 102 müşteri hesabından muhtemel posta listeleri "izleyici verileri" i aktarmak için kullanıldı.
Hesapları görüntüleme ve verilerin ihracatı yapmanın yanı sıra, tehdit aktörleri, şimdi devre dışı bırakılmış ve artık kullanılamayan açıklanmayan bir müşteri için API tuşlarına erişim kazanmıştır.
Uygulama Programlama Arabirimi (API) tuşları, PostaPIMP müşterilerinin hesaplarını yönetmesini ve doğrudan kendi web sitelerinden veya platformlarından pazarlama kampanyaları yapmalarını sağlayan belirteçlerdir.
Bu tehlikeye giren API tuşlarını kullanarak, bir tehdit oyuncusu, kimlik avı kampanyaları gibi özel e-posta kampanyaları oluşturabilir ve MailChimp'in müşteri portalına erişmeden postalama listelerine gönderebilir.
Smyth, BleepingComputer'a, tüm tehlikeli hesap sahiplerinin bildirildiği ve tehdit aktörlerinin Cryptocurrency ve Finance sektörlerinde müşterilere eriştiğini söyledi.
MailChimp, çalınan temaslara karşı kimlik avı kampanyaları yapmak için kullanılan ancak bu saldırılar hakkında bilgi açıklamamış için kullanılan bu erişimin raporlarını aldıklarını söylüyor.
MailChimp, tüm müşterilerin daha fazla koruma için hesaplarında iki faktörlü kimlik doğrulamasını sağladığını önerir.
"Bu olay için kullanıcılarımızdan içtenlikle özür dileriz ve kullanıcılarımız ve müşterilerimiz için soruları ortaya çıkardığını fark ediyoruz. Güvenlik kültürümüz, altyapımızda gurur duyuyoruz ve müşterilerimizin verilerini korumak için kendimize yattığımız güven. Biz Kullanıcılarımızı verilerini korumak ve gelecekteki olayları önlemek için kullandığımız güvenlik önlemlerinde ve sağlam süreçlere güveniyor. "
Siobhan Smyth, MailChimp'in Ciso.
Bu saldırı, NVIDIA, Samsung, Microsoft ve OKTA da dahil olmak üzere çok iyi bilinen şirketlere erişmek için sosyal mühendislik, kötü amaçlı yazılım ve kimlik bilgisi hırsızlığını kullanan LAPSUS $ HACKING GRUBU'yu tarafından son ihlalleri hatırlatıyor.
OKTA ihlali, MailChimp olarak benzer bir yöntemle, sosyal mühendislik tarafından, İç Müşteri Destek ve Hesap Yönetim Sistemlerine erişimi olan bir müteahhit.
BleepingComputer MailChimp ve Trezor'a ihlal hakkında daha fazla soru gönderdi, ancak geri dönmedi.
Sakin Trezor Veri Çöp E-postaları Cryptocurrency Cüzdanı çalmak için kullanılan e-postalar
Microsoft, yeni Windows 11 güvenlik, şifreleme özelliklerini duyurdu
Ukrayna'nın Rus bağlantılı 'Armageddon' kimlik avı saldırılarını gösteriyor
WhatsApp Sesli Mesaj Kimlik Avı E-postaları Bilgi Çalma Kötü Amaçlı Yazılım Push
Kimlik avı, Microsoft'a taklit etmek için Azure statik web sayfalarını kullanır.
Kaynak: Bleeping Computer