Фішингова кампанія націлена на користувачів Cardano через фейкові електронні листи, що просувають шахрайське завантаження застосунку Eternl Desktop.
Атака використовує професійно створені повідомлення з посиланнями на винагороди токенів NIGHT та ATMA через програму Diffusion Staking Basket для встановлення довіри.
Мисливець за загрозами Anurag виявив шкідливий інсталятор, що розповсюджується через новозареєстрований домен download.eternldesktop.network.
Файл Eternl.msi розміром 23,3 мегабайти містить прихований інструмент віддаленого управління LogMeIn Resolve, який встановлює несанкціонований доступ до систем жертв без відома користувача.
Фейковий інсталятор містить троян віддаленого доступу
Шкідливий MSI-інсталятор містить специфічний файл і встановлює виконуваний файл під назвою unattended-updater.exe з оригінальним іменем. Під час виконання цей файл створює структуру папок у системному каталозі Program Files.
Інсталятор записує декілька конфігураційних файлів, включаючи unattended.json, logger.json, mandatory.json та pc.json.
Конфігурація unattended.json активує функціональність віддаленого доступу без необхідності взаємодії з користувачем.
Мережевий аналіз показує, що шкідлива програма підключається до інфраструктури GoTo Resolve. Виконуваний файл передає інформацію про системні події у форматі JSON на віддалені сервери, використовуючи жорстко закодовані облікові дані API.
Дослідники безпеки класифікують цю поведінку як критичну. Інструменти віддаленого управління надають зловмисникам можливості для тривалої присутності, віддаленого виконання команд та збору облікових даних після встановлення на системи жертв.
Фішингові електронні листи підтримують відшліфований, професійний тон з правильною граматикою та без орфографічних помилок.
Шахрайське оголошення створює майже ідентичну копію офіційного релізу Eternl Desktop, повну повідомлень про сумісність з апаратними гаманцями, локальне управління ключами та розширені елементи керування делегуванням.
Кампанія націлена на користувачів Cardano
Зловмисники використовують наративи управління криптовалютою та специфічні для екосистеми посилання для розповсюдження прихованих інструментів доступу.
Посилання на винагороди токенів NIGHT та ATMA через програму Diffusion Staking Basket надають хибну легітимність шкідливій кампанії.
Користувачі Cardano, які прагнуть брати участь у стейкінгу або функціях управління, стикаються з високим ризиком від тактик соціальної інженерії, що імітують легітимні розробки екосистеми.
Новозареєстрований домен розповсюджує інсталятор без офіційної перевірки або валідації цифрового підпису.
Користувачі повинні перевіряти автентичність програмного забезпечення виключно через офіційні канали перед завантаженням застосунків гаманців.
Аналіз шкідливого програмного забезпечення Anurag виявив спробу зловживання ланцюгом постачання, спрямовану на встановлення постійного несанкціонованого доступу.
Інструмент GoTo Resolve надає зловмисникам можливості віддаленого управління, які компрометують безпеку гаманця та доступ до приватних ключів.
Користувачі повинні уникати завантаження застосунків гаманців з неперевірених джерел або новозареєстрованих доменів незалежно від відшліфованості електронної пошти або професійного вигляду.
Джерело: https://crypto.news/cardano-wallets-under-threat-phishing-campaign/
