La compañía, que fue adquirida por la firma de software financiero Intuit en septiembre de 2021, dijo a Bleeping Computer que intrusos habían accedido a su herramienta de atención al cliente mediante tácticas de ingeniería social contra sus empleados.
“El incidente fue propagado por un actor externo que llevó a cabo un exitoso ataque de ingeniería social contra empleados de Mailchimp, lo que dio lugar a que las credenciales de los empleados se vieran comprometidas”, dijo Siobhan Smyth, directora de seguridad de la información de Mailchimp. Aunque Mailchimp declaró que actuó rápidamente para terminar el acceso a la cuenta del empleado afectado, las credenciales desviadas se utilizaron para acceder a 319 cuentas de MailChimp y exportar las listas de correo correspondientes a 102 cuentas.
Se cree que el actor no identificado también obtuvo acceso a las claves API de un número no especificado de clientes, que según la empresa han sido desactivadas, impidiendo así nuevas campañas de phishing basadas en las claves sustraídas. A raíz de la intrusión, la empresa también recomienda a sus clientes que activen la autenticación de dos factores para proteger sus cuentas de los ataques.
Paralelamente, la empresa de monederos de criptomonedas Trezor dijo el domingo que está investigando un posible incidente de seguridad derivado de un boletín informativo distribuido vía Mailchimp, después de que el actor reutilizara los datos robados para enviar correos electrónicos fraudulentos en los que se afirmaba que la empresa había sufrido un incidente de seguridad.
El correo electrónico fraudulento, que venía con un supuesto enlace para descargar una versión actualizada de Trezor Suite alojada en lo que en realidad es un sitio de phishing, incitaba a los destinatarios desprevenidos a conectar sus monederos e introducir los datos en la aplicación troyanizada, permitiendo al adversario transferir los fondos a un monedero bajo su control.
“Este ataque es excepcional por su sofisticación y fue claramente planificado con un alto nivel de detalle”, explicó Trezor, agregando que “La aplicación de phishing es una versión clonada de Trezor Suite con una funcionalidad muy realista, y también incluía una versión web de la app. Mailchimp ha confirmado que su servicio ha sido vulnerado por un insider que tiene como objetivo las empresas de criptomonedas. Hemos conseguido desconectar el dominio de phishing [trezor.us], advirtiendo a sus usuarios que se abstengan de abrir cualquier correo electrónico de la compañía hasta nuevo aviso”.
