Ator de Ameaça PoisonSeed Registra Novos Domínios para Roubo de Credenciais

BR Defense Center (By River de Morais e Silva)
phishing

Pesquisadores de segurança da DomainTools identificaram uma nova onda de infraestrutura maliciosa associada ao ator de ameaça PoisonSeed, com 21 domínios registrados desde 1º de junho de 2025. A campanha visa principalmente clientes do SendGrid e ambientes empresariais, representando uma continuação das operações de phishing sofisticadas semelhantes ao grupo de cibercrime SCATTERED SPIDER. Os domínios recém-descobertos seguem as táticas, técnicas e procedimentos (TTPs) estabelecidos pelo PoisonSeed, utilizando intersticiais de CAPTCHA falsos da Cloudflare para adicionar legitimidade antes de redirecionar as vítimas para páginas de coleta de credenciais. Os pesquisadores observaram que esses domínios maliciosos exibem dados falsificados de Ray ID da Cloudflare, imitando processos de verificação de segurança legítimos. A infraestrutura maliciosa demonstra padrões de registro e hospedagem consistentes com campanhas anteriores do PoisonSeed, sendo todos os domínios registrados através do NiceNIC International Group Co. e hospedados em endereços IP específicos. A análise sugere que as operações do PoisonSeed podem estar conectadas ao coletivo de cibercrime “The Com”, que inclui jovens envolvidos em ataques motivados financeiramente desde 2022. Organizações que utilizam SendGrid devem implementar monitoramento aprimorado para solicitações de autenticação suspeitas e verificar comunicações através de canais oficiais antes de fornecer credenciais.

Fonte: https://cyberpress.org/poisonseed-threat-actor/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
11/09/2025 • Risco: ALTO
PHISHING

Ator de Ameaça PoisonSeed Registra Novos Domínios para Roubo de Credenciais

RESUMO EXECUTIVO
A campanha do PoisonSeed representa uma ameaça significativa para empresas que utilizam serviços de e-mail, como o SendGrid, com técnicas de phishing que imitam processos de verificação legítimos. A possibilidade de roubo de credenciais pode levar a compromissos de segurança e impactos financeiros substanciais.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais perdas financeiras devido ao comprometimento de contas e interrupções de serviços.
Operacional
Roubo de credenciais e potencial comprometimento de contas empresariais.
Setores vulneráveis
['Setores que utilizam serviços de e-mail e marketing digital']

📊 INDICADORES CHAVE

21 domínios registrados desde junho de 2025 Indicador
Utilização de três locais principais de hospedagem Contexto BR
Imitação de serviços legítimos do SendGrid Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de autenticação e monitorar atividades suspeitas em contas do SendGrid.
2 Implementar autenticação multifator (MFA) para proteger contas de e-mail.
3 Monitorar continuamente solicitações de autenticação e comunicações relacionadas ao SendGrid.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança das credenciais de suas organizações, especialmente em plataformas amplamente utilizadas como o SendGrid.

⚖️ COMPLIANCE

Implicações legais relacionadas à LGPD e proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).