Фишинговая кампания нацелена на пользователей Cardano через поддельные электронные письма, продвигающие мошенническую загрузку приложения Eternl Desktop.
Атака использует профессионально составленные сообщения со ссылками на вознаграждения токенами NIGHT и ATMA через программу Diffusion Staking Basket для установления доверия.
Охотник за угрозами Anurag обнаружил вредоносный установщик, распространяемый через недавно зарегистрированный домен download.eternldesktop.network.
Файл Eternl.msi размером 23,3 мегабайта содержит скрытый инструмент удаленного управления LogMeIn Resolve, который устанавливает несанкционированный доступ к системам жертв без их ведома.
Поддельный установщик содержит троян удаленного доступа
Вредоносный MSI-установщик содержит определенный файл и устанавливает исполняемый файл под названием unattended-updater.exe с оригинальным именем файла. Во время выполнения исполняемый файл создает структуру папок в директории Program Files системы.
Установщик записывает несколько конфигурационных файлов, включая unattended.json, logger.json, mandatory.json и pc.json.
Конфигурация unattended.json включает функцию удаленного доступа без необходимости взаимодействия с пользователем.
Сетевой анализ показывает, что вредоносная программа подключается к инфраструктуре GoTo Resolve. Исполняемый файл передает информацию о системных событиях в формате JSON на удаленные серверы, используя жестко закодированные учетные данные API.
Исследователи безопасности классифицируют это поведение как критическое. Инструменты удаленного управления предоставляют злоумышленникам возможности для долгосрочного присутствия, удаленного выполнения команд и сбора учетных данных после установки на системы жертв.
Фишинговые письма отличаются безупречным, профессиональным тоном с правильной грамматикой и без орфографических ошибок.
Мошенническое объявление создает практически идентичную копию официального релиза Eternl Desktop с полным описанием совместимости с аппаратными кошельками, локального управления ключами и расширенных элементов управления делегированием.
Кампания нацелена на пользователей Cardano
Злоумышленники используют нарративы управления криптовалютами и специфические для экосистемы ссылки для распространения скрытых инструментов доступа.
Ссылки на вознаграждения токенами NIGHT и ATMA через программу Diffusion Staking Basket придают ложную легитимность вредоносной кампании.
Пользователи Cardano, стремящиеся участвовать в стейкинге или функциях управления, сталкиваются с высоким риском от тактик социальной инженерии, которые имитируют легитимные разработки экосистемы.
Недавно зарегистрированный домен распространяет установщик без официальной верификации или проверки цифровой подписи.
Пользователи должны проверять подлинность программного обеспечения исключительно через официальные каналы перед загрузкой приложений кошельков.
Анализ вредоносного ПО Anurag выявил попытку злоупотребления цепочкой поставок, направленную на установление постоянного несанкционированного доступа.
Инструмент GoTo Resolve предоставляет злоумышленникам возможности удаленного управления, которые компрометируют безопасность кошелька и доступ к приватным ключам.
Пользователям следует избегать загрузки приложений кошельков из непроверенных источников или недавно зарегистрированных доменов, независимо от качества оформления письма или профессионального внешнего вида.
Источник: https://crypto.news/cardano-wallets-under-threat-phishing-campaign/
