Una campagna di phishing sta prendendo di mira gli utenti di Cardano attraverso email false che promuovono il download fraudolento dell'applicazione Eternl Desktop.
L'attacco sfrutta messaggi professionalmente elaborati che fanno riferimento ai premi dei token NIGHT e ATMA attraverso il programma Diffusion Staking Basket per stabilire credibilità.
Il ricercatore di minacce Anurag ha identificato un programma di installazione dannoso distribuito attraverso un dominio appena registrato, download.eternldesktop.network.
Il file Eternl.msi da 23,3 megabyte contiene uno strumento di gestione remota LogMeIn Resolve nascosto che stabilisce un accesso non autorizzato ai sistemi delle vittime senza la consapevolezza dell'utente.
L'installer falso include un trojan di accesso remoto
Il programma di installazione MSI dannoso contiene uno specifico e rilascia un eseguibile chiamato unattended-updater.exe con il nome file originale. Durante l'esecuzione, l'eseguibile crea una struttura di cartelle nella directory Programmi del sistema.
L'installer scrive molteplici file di configurazione tra cui unattended.json, logger.json, mandatory.json e pc.json.
La configurazione unattended.json abilita la funzionalità di accesso remoto senza richiedere l'interazione dell'utente.
L'analisi di rete rivela che il malware si connette all'infrastruttura GoTo Resolve. L'eseguibile trasmette informazioni sugli eventi di sistema in formato JSON a server remoti utilizzando credenziali API hardcoded.
I ricercatori di sicurezza classificano il comportamento come critico. Gli strumenti di gestione remota forniscono agli attori delle minacce capacità di persistenza a lungo termine, esecuzione di comandi remoti e raccolta di credenziali una volta installati sui sistemi delle vittime.
Le email di phishing mantengono un tono curato e professionale con grammatica corretta e senza errori di ortografia.
L'annuncio fraudolento crea una replica quasi identica del rilascio ufficiale di Eternl Desktop, completa di messaggi sulla compatibilità con portafogli hardware, gestione delle chiavi locali e controlli di delega avanzati.
La campagna prende di mira gli utenti di Cardano
Gli aggressori utilizzano narrative di governance delle criptovalute e riferimenti specifici all'ecosistema per distribuire strumenti di accesso nascosti.
I riferimenti ai premi dei token NIGHT e ATMA attraverso il programma Diffusion Staking Basket conferiscono falsa legittimità alla campagna dannosa.
Gli utenti di Cardano che cercano di partecipare alle funzionalità di staking o governance affrontano un rischio elevato da tattiche di ingegneria sociale che imitano sviluppi legittimi dell'ecosistema.
Il dominio appena registrato distribuisce l'installer senza verifica ufficiale o convalida della firma digitale.
Gli utenti dovrebbero verificare l'autenticità del software esclusivamente attraverso canali ufficiali prima di scaricare applicazioni di portafoglio.
L'analisi del malware di Anurag ha rivelato il tentativo di abuso della supply-chain mirato a stabilire un accesso non autorizzato persistente.
Lo strumento GoTo Resolve fornisce agli aggressori capacità di controllo remoto che compromettono la sicurezza del portafoglio e l'accesso alla chiave privata.
Gli utenti dovrebbero evitare di scaricare applicazioni di portafoglio da fonti non verificate o domini appena registrati indipendentemente dalla cura dell'email o dall'aspetto professionale.
Fonte: https://crypto.news/cardano-wallets-under-threat-phishing-campaign/
