Trong khi thế giới tiền mã hóa vẫn đang tiếp tục phát triển mạnh mẽ, những mối đe dọa cũng ngày càng trở nên tinh vi hơn. Gần đây, một chiến dịch lừa đảo nguy hiểm mang tên PoisonSeed đã được các chuyên gia từ Silent Push cảnh báo – chiến dịch này lợi dụng tài khoản email bị đánh cắp để phát tán "mật khẩu hạt giống" giả, lừa người dùng tự tay cung cấp quyền truy cập ví tiền số của chính họ.

---

Tổng quan

PoisonSeed là gì?

PoisonSeed là tên được đặt cho một chiến dịch tấn công mạng tinh vi, nơi các hacker sử dụng thông tin đăng nhập bị đánh cắp từ các nền tảng email marketing và quản lý khách hàng (CRM) như Mailchimp, SendGrid, Hubspot, Zoho... để phát tán email spam quy mô lớn.

Những email này giả dạng như những thông báo bảo mật từ các sàn giao dịch tiền mã hóa nổi tiếng như Coinbase, Ledger, với nội dung kêu gọi người nhận “chuyển sang ví tự lưu ký mới” – một xu hướng phổ biến gần đây. Kèm theo đó là một chuỗi 12-24 ký tự trông giống như seed phrase hợp lệ.

Điểm then chốt: Người nhận chính là người nhập chuỗi seed phrase giả đó vào ví mới – vô tình trao quyền kiểm soát hoàn toàn cho kẻ tấn công.

---

Chiêu trò tinh vi và bài bản

Không chỉ dừng lại ở việc gửi email, các đối tượng PoisonSeed còn:

• Giả mạo trang đăng nhập của Mailchimp, SendGrid để đánh cắp tài khoản nhân viên tại các công ty lớn.

• Tự động tải về danh sách liên hệ và tạo các API key để giữ quyền truy cập lâu dài.

• Gửi email giả mạo với nội dung khẩn cấp như “quyền gửi email bị hạn chế” để thúc đẩy nạn nhân đăng nhập vào trang giả mạo.

• Lồng ghép seed phrase giả như một phần "quy trình bảo mật" của ví mới – đánh vào lòng tin của người dùng.

Chiến dịch này nhắm tới cả cá nhân lẫn doanh nghiệp – kể cả những người không có liên quan trực tiếp đến tiền mã hóa. Bất kỳ ai có địa chỉ email lọt vào danh sách đều có thể trở thành nạn nhân.

PoisonSeed không chỉ là một chiến dịch lừa đảo đơn thuần – nó là minh chứng rõ ràng rằng trong thế giới kỹ thuật số, chúng ta không bị hack – mà là tự hack chính mình khi mất cảnh giác.

---

Có liên quan đến các nhóm tấn công nổi tiếng?

Dù một số tên miền được sử dụng như mailchimp-sso[.]com có liên hệ với các nhóm như Scattered Spider hay CryptoChameleon, các nhà nghiên cứu cho rằng PoisonSeed có dấu hiệu hoạt động độc lập, sử dụng bộ công cụ phishing riêng biệt và mục tiêu khác biệt.

Scattered Spider trong năm 2025 đã tấn công các thương hiệu lớn như Nike, Twitter/X, Louis Vuitton, nhưng không hề đụng tới các mục tiêu như Coinbase hay ví tiền số – điều khiến PoisonSeed trở thành một thực thể riêng biệt trong hệ sinh thái tội phạm mạng "The Com".

---

Khuyến nghị

Phía FPT Threat Intelligence cảnh báo sự nguy hiểm của việc sử dụng lại tài khoản, thiếu xác thực đa yếu tố, và thiếu cảnh giác trước email trông có vẻ hợp lệ:

• Không bao giờ nhập seed phrase được gửi từ email – dù có vẻ đáng tin cậy đến đâu.

• Chỉ tạo ví mới từ ứng dụng hoặc website chính thức.

• Luôn bật xác thực hai yếu tố (2FA) cho email và tài khoản quan trọng.

• Kiểm tra kỹ URL trước khi đăng nhập vào bất kỳ nền tảng nào.

---

IOCs

Phishing Domain :

Tham khảo

PoisonSeed Exploits CRM Accounts to Launch Cryptocurrency Seed Phrase Poisoning Attacks

PoisonSeed uses CRM Accounts for Cryptocurrency ‘Seed Phrase Poisoning’ Attacks!