Phishing-kampanja Cardano-käyttäjille
Phishing-kampanja kohdistuu Cardano-käyttäjiin väärennettyjen sähköpostien kautta, jotka mainostavat haitallista Eternl Desktop -sovellusta. Hyökkäys hyödyntää ammattimaisesti laadittuja viestejä, joissa viitataan NIGHT– ja ATMA-token-palkintoihin Diffusion Staking Basket -ohjelman kautta uskottavuuden luomiseksi.
Haitallinen asennustiedosto
Uhka-asiantuntija Anurag on tunnistanut haitallisen asennustiedoston, jota jaettiin rekisteröidyn verkkotunnuksen kautta, download.eternldesktop.network. 23,3 megatavun Eternl.msi-tiedosto sisältää piilotetun LogMeIn Resolve -etäohjaustyökalun, joka mahdollistaa luvattoman pääsyn uhri järjestelmiin ilman käyttäjän tietoisuutta.
Haitallinen MSI-asennustiedosto sisältää erityisen ja pudottaa suoritettavan tiedoston nimeltä unattended-updater.exe alkuperäisellä tiedostonimellä.
Suorituksen aikana tämä tiedosto luo kansiorakenteen järjestelmän Program Files -hakemistoon. Asennustyökalu kirjoittaa useita konfiguraatiotiedostoja, kuten unattended.json, logger.json, mandatory.json ja pc.json. unattended.json-konfiguraatio mahdollistaa etäyhteyden toiminnallisuuden ilman käyttäjän vuorovaikutusta.
Etäohjaustyökalut ja niiden riskit
Verkkotutkimus paljastaa, että haittaohjelma yhdistää GoTo Resolve -infrastruktuuriin. Suoritettava tiedosto siirtää järjestelmäntapahtumatietoja JSON-muodossa etäpalvelimille käyttäen kovakoodattuja API-tunnuksia. Turvallisuustutkijat luokittelevat käyttäytymisen kriittiseksi.
Etäohjaustyökalut tarjoavat uhkaajille mahdollisuuksia pitkäaikaiseen pysyvyyteen, etäkomentojen suorittamiseen ja tunnistetietojen keräämiseen, kun ne on asennettu uhri järjestelmiin.
Phishing-sähköpostien ominaisuudet
Phishing-sähköpostit säilyttävät kiillotetun, ammattimaisen sävyn oikealla kieliopilla ja ilman kirjoitusvirheitä. Petollinen ilmoitus luo lähes identtisen kopion virallisesta Eternl Desktop -julkaisusta, mukaan lukien viestintää laitteistolompakkoyhteensopivuudesta, paikallisesta avainhallinnasta ja edistyneistä delegointikontrolleista.
Hyökkääjät hyödyntävät kryptovaluuttojen hallintanarratiiveja ja ekosysteemikohtaisia viittauksia jakaakseen salaisia pääsytyökaluja. Viittaukset NIGHT– ja ATMA-token-palkintoihin Diffusion Staking Basket -ohjelman kautta antavat väärää laillisuutta haitalliselle kampanjalle.
Suositukset käyttäjille
Cardano-käyttäjät, jotka pyrkivät osallistumaan staking- tai hallintatoimintoihin, kohtaavat suuren riskin sosiaalisen manipuloinnin taktiikoista, jotka jäljittelevät laillisia ekosysteemikehityksiä. Uudelleen rekisteröity verkkotunnus jakaa asennustyökalua ilman virallista vahvistusta tai digitaalista allekirjoituksen vahvistusta.
Käyttäjien tulisi vahvistaa ohjelmiston aitous yksinomaan virallisten kanavien kautta ennen lompakkosovellusten lataamista. Anuragin haittaohjelma-analyysi paljasti toimitusketjun väärinkäytön yrityksen, joka pyrki luomaan pysyvää luvattomaa pääsyä.
GoTo Resolve -työkalu antaa hyökkääjille etäohjausmahdollisuuksia, jotka vaarantavat lompakon turvallisuuden ja yksityisen avaimen pääsyn. Käyttäjien tulisi välttää lompakkosovellusten lataamista vahvistamattomista lähteistä tai uudelleen rekisteröidyistä verkkotunnuksista riippumatta sähköpostin kiillotuksesta tai ammattimaisesta ulkoasusta.
