Cardanoユーザーは、偽のデスクトップウォレットEternlを使ったフィッシングキャンペーンの標的となっています

ソース：Yellow オリジナルタイトル：Cardanoユーザーが偽のデスクトップウォレットEternlを使ったフィッシングキャンペーンの標的に

オリジナルリンク： 12月末から流通しているCardano (ADA)のユーザーを狙ったフィッシングキャンペーンは、偽装されたマルウェアを配布し、Eternlデスクトップウォレットのアプリケーションとして偽装しています。

セキュリティ研究者は、「Eternl Desktop Is Live - Secure Execution for Atrium & Diffusion Participants.」というタイトルのプロフェッショナルに作成されたメールを分析した後、攻撃を特定しました。

詐欺メールは、NIGHTやDiffusionステーキングバスケットプログラムを通じたATMAトークンの報酬など、Cardanoエコシステムの正当な用語に言及しています。

攻撃者は、未検証のドメインdownload.eternldesktop.networkを使用して、悪意のあるインストーラーを配布しています。

何が起きたのか

独立した脅威ハンターのAnuragは、23.3MBのEternl.msiファイルを分析し、リモート管理ソフトウェアのLogMeIn GoTo Resolveが含まれていることを発見しました。

インストーラーは、 unattended-updater.exe という実行可能ファイルをダウンロードし、設定ファイルを作成して、ユーザーの操作なしにリモートアクセスを可能にします。

マルウェアは、GoTo Resolveの正規インフラストラクチャと通信を確立し、攻撃者がコマンドを実行したり、被害者のシステムを監視したりできるようにします。

ネットワーク分析により、ソフトウェアがJSON形式の情報を攻撃者にリモートサーバーを通じて送信していることが判明しました。

メールは誤字脱字がなく、専門的で洗練された言葉遣いを用いているため、正規の通信と区別しにくくなっています。

インストーラーにはデジタル署名やチェックサムの検証が付いておらず、ユーザーがインストール前に正当性を確認することを妨げています。

なぜ重要なのか

このキャンペーンは、Cardanoユーザーのシステムに不正アクセスを持続的に確立することを目的としたサプライチェーン攻撃の試みです。

リモート管理ツールは、攻撃者が暗号通貨ウォレットを空にしたり、資格情報を盗んだりするのに役立ちます。これらは被害者のマシンにインストールされた後に行われます。

この攻撃は、攻撃者が正当な管理ソフトウェアを悪用して、アンチウイルスによる検出を回避していることを示しています。

セキュリティ研究者は、ユーザーはEternlの公式コミュニケーションチャネルからのみウォレットアプリをダウンロードすべきだと強調しました。

新たに登録されたドメインと、Eternlからの公式アナウンスの欠如は、いくつかのユーザーにとって警告のサインとなるべきものでした。

類似のフィッシングキャンペーンは、以前にも偽のソフトウェアアップデートや偽のウォレットアプリを通じて暗号通貨ユーザーを標的にしています。