NVISO publie une analyse technique d’un kit de phishing actif, « PoisonSeed », lié à Scattered Spider et CryptoChameleon, qui cible des fournisseurs CRM et d’e-mailing de masse (SendGrid, Mailchimp, Google) en contournant la MFA via des attaques Adversary‑in‑the‑Middle (AitM).

L’outil repose sur une infrastructure React et utilise des composants dédiés comme TurnstileChallenge.jsx (vérification de la victime), LoginForm.jsx (capture d’identifiants) et plusieurs modules 2FA (SMS, Email, Authenticator, API Key). Il recourt à des défis Cloudflare Turnstile factices et à un mécanisme de phishing “precision‑validated” qui vérifie côté serveur des paramètres d’e‑mail chiffrés via l’endpoint /api/check-email.

Le flux d’authentification intercepte les identifiants et les codes 2FA, les relaie vers les services légitimes en mode AitM, puis capture les cookies de session. Une fois des comptes compromis obtenus, PoisonSeed est utilisé pour exporter des listes d’e‑mails et mener des campagnes de spam liées aux cryptomonnaies, dont des attaques de manipulation de seed phrase. 🎣🔐

L’analyse d’infrastructure mentionne l’usage du registrar NICENIC, de l’hébergement Cloudflare et de domaines usurpant des services d’e‑mail légitimes. Le rapport inclut une revue du code JavaScript, une documentation des endpoints API et des IOCs.

TTPs observés:

  • AitM/MFA-bypass: interception et relais des sessions pour contourner la MFA, avec capture de cookies.
  • Phishing “precision‑validated”: validation côté serveur d’e‑mails chiffrés via /api/check-email.
  • Leurres anti‑bot: faux défis Cloudflare Turnstile.
  • Collecte 2FA multi‑méthodes: SMS, e‑mail, Authenticator, API key.
  • Usurpation de marques et d’infra: domaines look‑alike, NICENIC (registrar), Cloudflare (hébergement).
  • Objectifs post‑compromission: export de listes d’e‑mails, spam crypto, manipulation de seed phrase.

Type d’article: analyse de menace détaillant un kit de phishing AitM, ses mécanismes techniques, son infrastructure et les indicateurs associés.

🧠 TTPs et IOCs détectés

TTPs

AitM/MFA-bypass, Phishing ‘precision-validated’, Leurres anti-bot, Collecte 2FA multi-méthodes, Usurpation de marques et d’infra, Objectifs post-compromission

IOCs

registrar NICENIC, hébergement Cloudflare, domaines usurpant des services d’e-mail légitimes

🔗 Source originale : https://blog.nviso.eu/2025/08/12/shedding-light-on-poisonseeds-phishing-kit/

🖴 Archive : https://web.archive.org/web/20250812193939/https://blog.nviso.eu/2025/08/12/shedding-light-on-poisonseeds-phishing-kit/