仮想通貨のハードウェア型ウォレットを提供している「Trezor」のユーザーに対するフィッシング攻撃が相次いでいるのですが、この原因が、メール配信サービス・MailChimpの社内ツールに攻撃者が侵入して顧客データが盗まれたことによるものであることがわかりました。

Ongoing phishing attacks on Trezor users | by SatoshiLabs | Apr, 2022 | Trezor Blog
https://blog.trezor.io/ongoing-phishing-attacks-on-trezor-users-edd840b17304

Hackers breach MailChimp's internal tools to target crypto customers
https://www.bleepingcomputer.com/news/security/hackers-breach-mailchimps-internal-tools-to-target-crypto-customers/

攻撃者はMailChimpの従業員数名に対してソーシャルエンジニアリング攻撃を仕掛けて、社内カスタマーサポートおよびアカウント管理ツールへの侵入に成功。319のMailChimpアカウントにアクセスし、102の顧客アカウントからメーリングリストと考えられるデータをエクスポートしたとみられます。

攻撃者はMailChimpのAPIキーにもアクセスできる状態だったため、MailChimp経由で各サービスのユーザーに向けてフィッシング攻撃を仕掛けたというわけです。

その中の1つである、仮想通貨のハードウェア型ウォレットを提供する「Trezor」のユーザーに対しては、ソフトウェアのダウンロードとウォレットのPINをリセットするよう促すようなメールが送られました。このソフトウェアは、ウォレット内の仮想通貨を盗み出す、悪意あるソフトウェアでした。

実際のメールの文面は以下のようなもの。

すでに、侵害を受けたアカウントは無効化され、当該APIキーは利用できなくなっています。

MailChimpはさらなる保護のために、すべての顧客に対して2要素認証を有効にするよう推奨しています。