电子邮件系统漏洞导致针对客户的网络钓鱼攻击

加密货币奖励平台Celsium Network披露了一个安全漏洞，暴露了导致网络钓鱼攻击的客户信息。

15日，Celsius首席执行官Alex Mashinsky表示，Celsius的第三方营销服务器遭到破坏，威胁参与者获得了部分Celsius客户名单的访问权。

“未经授权的一方设法进入一个备份的第三方电子邮件分发系统，该系统与部分客户电子邮件列表有连接。一旦进入系统，这个未经授权的一方发送了一封欺诈性的电子邮件公告，我们知道其中一些收件人是“客户”

“目的是让收件人相信欺诈邮件来自Celsius，欺诈网站是一个真正的Celsius网站，并通过提示用户向其个人钱包地址提供种子短语，从其个人（非Celsius）钱包中获取收件人加密货币资产的所有权，“披露了一份公告。

在进入客户名单后，这些威胁参与者通过网络钓鱼短信和电子邮件假冒Celsium网络，推销了一款新的Celsium网络钱包。为了鼓励人们访问该网站，该文本称，如果用户创建一个钱包并输入一个特殊的促销代码，Celsium将提供500美元的CEL加密货币。

点击链接后，收件人会进入钓鱼网站celsiuswallet[.]network，该网站现在已关闭，要求访问者创建一个Web钱包。

当你试图创建这个假钱包时，网站要求访问者链接他们的其他在线钱包并输入这些钱包的种子短语。一旦提供了这个种子短语，威胁参与者就可以导入您的钱包并窃取其中的任何加密货币。

VirusTotal显示celsiuswallet[.]网络钓鱼域最初有一个DNS SOA记录，表明它已在Njalla注册处注册。

Njalla是位于瑞典的一个注册机构，它是某些威胁行为体的最爱，例如Fancy Bear和Cozy Bear俄罗斯黑客组织。

域名是1天，通过NJALLA注册。Njalla是Fancy Bear和Cozy Bear的首选注册商。仅此一项就已经表明，这个网站背后的人至少对俄罗斯MO有一点了解。

-Rickey Gevers（@UID\）2021年1月12日

最近，一个名为“太阳泄密”的诈骗网站利用Njalla创建，据称是为了出售在SolarWinds袭击中窃取的数据。

【参考来源：bleepingcomputer】