แคมเปญฟิชชิ่งกำลังกำหนดเป้าหมายผู้ใช้ Cardano ผ่านอีเมลปลอมที่โปรโมตการดาวน์โหลดแอปพลิเคชัน Eternl Desktop ที่เป็นการฉ้อโกง
การโจมตีใช้ประโยชน์จากข้อความที่สร้างขึ้นอย่างมืออาชีพโดยอ้างถึงรางวัลโทเค็น NIGHT และ ATMA ผ่านโปรแกรม Diffusion Staking Basket เพื่อสร้างความน่าเชื่อถือ
นักล่าภัยคุกคาม Anurag ระบุตัวติดตั้งที่เป็นอันตรายที่แจกจ่ายผ่านโดเมนที่ลงทะเบียนใหม่ download.eternldesktop.network
ไฟล์ Eternl.msi ขนาด 23.3 เมกะไบต์ประกอบด้วยเครื่องมือจัดการระยะไกล LogMeIn Resolve ที่ซ่อนอยู่ซึ่งสร้างการเข้าถึงที่ไม่ได้รับอนุญาตไปยังระบบของเหยื่อโดยที่ผู้ใช้ไม่รู้ตัว
ตัวติดตั้งปลอมมาพร้อมกับโทรจันเข้าถึงระยะไกล
ตัวติดตั้ง MSI ที่เป็นอันตรายมีลักษณะเฉพาะและวางไฟล์เรียกใช้งานที่เรียกว่า unattended-updater.exe พร้อมชื่อไฟล์ต้นฉบับ ระหว่างการทำงาน ไฟล์เรียกใช้งานสร้างโครงสร้างโฟลเดอร์ภายใต้ไดเรกทอรี Program Files ของระบบ
ตัวติดตั้งเขียนไฟล์กำหนดค่าหลายไฟล์รวมถึง unattended.json, logger.json, mandatory.json และ pc.json
การกำหนดค่า unattended.json เปิดใช้งานฟังก์ชันการเข้าถึงระยะไกลโดยไม่ต้องมีการโต้ตอบจากผู้ใช้
การวิเคราะห์เครือข่ายเผยให้เห็นว่ามัลแวร์เชื่อมต่อกับโครงสร้างพื้นฐาน GoTo Resolve ไฟล์เรียกใช้งานส่งข้อมูลเหตุการณ์ระบบในรูปแบบ JSON ไปยังเซิร์ฟเวอร์ระยะไกลโดยใช้ข้อมูลรับรอง API ที่ฝังไว้
นักวิจัยด้านความปลอดภัยจัดประเภทพฤติกรรมนี้ว่าร้ายแรง เครื่องมือจัดการระยะไกลมอบความสามารถให้กับผู้คุกคามในการดำรงอยู่ระยะยาว การเรียกใช้คำสั่งระยะไกล และการเก็บเกี่ยวข้อมูลรับรองเมื่อติดตั้งบนระบบของเหยื่อ
อีเมลฟิชชิ่งรักษาน้ำเสียงที่สวยงามและเป็นมืออาชีพด้วยไวยากรณ์ที่ถูกต้องและไม่มีข้อผิดพลาดในการสะกด
การประกาศที่เป็นการฉ้อโกงสร้างสำเนาที่เกือบเหมือนกันของการเปิดตัว Eternl Desktop อย่างเป็นทางการ พร้อมด้วยข้อความเกี่ยวกับความเข้ากันได้ของกระเป๋าเงินฮาร์ดแวร์ การจัดการคีย์ในเครื่อง และการควบคุมการมอบหมายขั้นสูง
แคมเปญกำหนดเป้าหมายผู้ใช้ Cardano
ผู้โจมตีใช้เรื่องเล่าการกำกับดูแลสกุลเงินดิจิทัลและการอ้างอิงเฉพาะระบบนิเวศเป็นอาวุธเพื่อแจกจ่ายเครื่องมือเข้าถึงแบบลับ
การอ้างอิงถึงรางวัลโทเค็น NIGHT และ ATMA ผ่านโปรแกรม Diffusion Staking Basket ให้ความชอบธรรมที่เป็นเท็จแก่แคมเปญที่เป็นอันตราย
ผู้ใช้ Cardano ที่พยายามเข้าร่วมในคุณสมบัติการสเตคหรือการกำกับดูแลเผชิญกับความเสี่ยงสูงจากกลยุทธ์วิศวกรรมสังคมที่เลียนแบบการพัฒนาระบบนิเวศที่ถูกต้องตามกฎหมาย
โดเมนที่ลงทะเบียนใหม่แจกจ่ายตัวติดตั้งโดยไม่มีการยืนยันอย่างเป็นทางการหรือการตรวจสอบลายเซ็นดิจิทัล
ผู้ใช้ควรตรวจสอบความถูกต้องของซอฟต์แวร์เฉพาะผ่านช่องทางอย่างเป็นทางการก่อนดาวน์โหลดแอปพลิเคชันกระเป๋าเงิน
การวิเคราะห์มัลแวร์ของ Anurag เปิดเผยความพยายามในการใช้ประโยชน์จากห่วงโซ่อุปทานที่มุ่งสร้างการเข้าถึงที่ไม่ได้รับอนุญาตอย่างถาวร
เครื่องมือ GoTo Resolve มอบความสามารถในการควบคุมระยะไกลให้กับผู้โจมตีที่ทำให้ความปลอดภัยของกระเป๋าเงินและการเข้าถึงคีย์ส่วนตัวถูกบุกรุก
ผู้ใช้ควรหลีกเลี่ยงการดาวน์โหลดแอปพลิเคชันกระเป๋าเงินจากแหล่งที่ไม่ได้รับการตรวจสอบหรือโดเมนที่ลงทะเบียนใหม่โดยไม่คำนึงถึงความสวยงามของอีเมลหรือรูปลักษณ์ที่เป็นมืออาชีพ
แหล่งที่มา: https://crypto.news/cardano-wallets-under-threat-phishing-campaign/
