Uma campanha de phishing está a visar utilizadores de Cardano através de emails falsos que promovem o download fraudulento da aplicação Eternl Desktop.
O ataque utiliza mensagens elaboradas profissionalmente que fazem referência a recompensas de tokens NIGHT e ATMA através do programa Diffusion Staking Basket para estabelecer credibilidade.
O caçador de ameaças Anurag identificou um instalador malicioso distribuído através de um domínio recém-registado, download.eternldesktop.network.
O ficheiro Eternl.msi de 23,3 megabytes contém uma ferramenta oculta de gestão remota LogMeIn Resolve que estabelece acesso não autorizado aos sistemas das vítimas sem conhecimento do utilizador.
Instalador falso contém trojan de acesso remoto
O instalador MSI malicioso transporta um específico e deixa cair um executável chamado unattended-updater.exe com o nome de ficheiro original. Durante a execução, o executável cria uma estrutura de pastas no diretório Program Files do sistema.
O instalador cria múltiplos ficheiros de configuração incluindo unattended.json, logger.json, mandatory.json e pc.json.
A configuração unattended.json ativa a funcionalidade de acesso remoto sem exigir interação do utilizador.
A análise de rede revela que o malware se conecta à infraestrutura GoTo Resolve. O executável transmite informações de eventos do sistema em formato JSON para servidores remotos usando credenciais API codificadas.
Os investigadores de segurança classificam o comportamento como crítico. As ferramentas de gestão remota fornecem aos atores de ameaças capacidades para persistência a longo prazo, execução remota de comandos e recolha de credenciais uma vez instaladas nos sistemas das vítimas.
Os emails de phishing mantêm um tom polido e profissional com gramática adequada e sem erros ortográficos.
O anúncio fraudulento cria uma réplica quase idêntica do lançamento oficial do Eternl Desktop, completo com mensagens sobre compatibilidade com carteira custodial de hardware, gestão local de chaves e controlos de delegação avançados.
Campanha visa utilizadores de Cardano
Os atacantes utilizam narrativas de governação de criptomoedas e referências específicas do ecossistema para distribuir ferramentas de acesso secreto.
As referências a recompensas de tokens NIGHT e ATMA através do programa Diffusion Staking Basket conferem falsa legitimidade à campanha maliciosa.
Os utilizadores de Cardano que procuram participar em funcionalidades de staking ou governação enfrentam alto risco de táticas de engenharia social que imitam desenvolvimentos legítimos do ecossistema.
O domínio recém-registado distribui o instalador sem verificação oficial ou validação de assinatura digital.
Os utilizadores devem verificar a autenticidade do software exclusivamente através de canais oficiais antes de descarregar aplicações de carteira.
A análise de malware de Anurag revelou a tentativa de abuso da cadeia de fornecimento destinada a estabelecer acesso não autorizado persistente.
A ferramenta GoTo Resolve fornece aos atacantes capacidades de controlo remoto que comprometem a segurança da carteira e o acesso a chaves privadas.
Os utilizadores devem evitar descarregar aplicações de carteira de fontes não verificadas ou domínios recém-registados, independentemente do polimento do email ou aparência profissional.
Fonte: https://crypto.news/cardano-wallets-under-threat-phishing-campaign/
