Kampania phishingowa atakuje użytkowników Cardano za pomocą fałszywych e-maili promujących oszukańcze pobieranie aplikacji Eternl Desktop.
Atak wykorzystuje profesjonalnie przygotowane wiadomości odnoszące się do nagród w tokenach NIGHT i ATMA poprzez program Diffusion Staking Basket w celu budowania wiarygodności.
Łowca zagrożeń Anurag zidentyfikował złośliwy instalator dystrybuowany przez nowo zarejestrowaną domenę download.eternldesktop.network.
Plik Eternl.msi o rozmiarze 23,3 megabajta zawiera ukryte narzędzie zdalnego zarządzania LogMeIn Resolve, które umożliwia nieautoryzowany dostęp do systemów ofiar bez ich wiedzy.
Fałszywy instalator zawiera trojana zdalnego dostępu
Złośliwy instalator MSI zawiera określony plik i zrzuca plik wykonywalny o nazwie unattended-updater.exe z oryginalną nazwą pliku. Podczas działania plik wykonywalny tworzy strukturę folderów w katalogu Program Files systemu.
Instalator zapisuje wiele plików konfiguracyjnych, w tym unattended.json, logger.json, mandatory.json i pc.json.
Konfiguracja unattended.json umożliwia funkcjonalność zdalnego dostępu bez konieczności interakcji użytkownika.
Analiza sieci ujawnia, że złośliwe oprogramowanie łączy się z infrastrukturą GoTo Resolve. Plik wykonywalny przesyła informacje o zdarzeniach systemowych w formacie JSON do zdalnych serwerów przy użyciu zakodowanych danych uwierzytelniających API.
Badacze bezpieczeństwa klasyfikują to zachowanie jako krytyczne. Narzędzia zdalnego zarządzania zapewniają atakującym możliwości długotrwałej obecności, zdalnego wykonywania poleceń i zbierania danych uwierzytelniających po zainstalowaniu w systemach ofiar.
E-maile phishingowe utrzymują dopracowany, profesjonalny ton z poprawną gramatyką i bez błędów ortograficznych.
Oszukańcze ogłoszenie tworzy niemal identyczną replikę oficjalnego wydania Eternl Desktop, wraz z informacjami o kompatybilności z portfelami sprzętowymi, lokalnym zarządzaniu kluczami i zaawansowanych kontrolach delegowania.
Kampania celuje w użytkowników Cardano
Atakujący wykorzystują narracje dotyczące zarządzania kryptowalutami i odniesienia specyficzne dla ekosystemu w celu dystrybucji narzędzi skrytego dostępu.
Odniesienia do nagród w tokenach NIGHT i ATMA poprzez program Diffusion Staking Basket nadają fałszywą legitymację złośliwej kampanii.
Użytkownicy Cardano starający się uczestniczyć w stakingu lub funkcjach zarządzania są narażeni na wysokie ryzyko ze strony taktyk inżynierii społecznej naśladujących legalne wydarzenia w ekosystemie.
Nowo zarejestrowana domena dystrybuuje instalator bez oficjalnej weryfikacji lub walidacji podpisu cyfrowego.
Użytkownicy powinni weryfikować autentyczność oprogramowania wyłącznie za pośrednictwem oficjalnych kanałów przed pobraniem aplikacji portfela.
Analiza złośliwego oprogramowania Anuraga ujawniła próbę nadużycia łańcucha dostaw mającą na celu ustanowienie trwałego nieautoryzowanego dostępu.
Narzędzie GoTo Resolve zapewnia atakującym możliwości zdalnej kontroli, które naruszają bezpieczeństwo portfela i dostęp do kluczy prywatnych.
Użytkownicy powinni unikać pobierania aplikacji portfela z niezweryfikowanych źródeł lub nowo zarejestrowanych domen, niezależnie od dopracowania e-maili lub profesjonalnego wyglądu.
Źródło: https://crypto.news/cardano-wallets-under-threat-phishing-campaign/
