แคมเปญฟิชชิงกำลังโจมตีผู้ใช้ Cardano ผ่านอีเมลปลอมที่ส่งเสริมการดาวน์โหลดแอปพลิเคชัน Eternl Desktop ปลอม
การโจมตีใช้ข้อความที่ออกแบบอย่างมืออาชีพโดยอ้างอิงถึงรางวัลโทเค็น NIGHT และ ATMA ผ่านโปรแกรม Diffusion Staking Basket เพื่อสร้างความน่าเชื่อถือ
นักล่าความเสี่ยง Anurag พบตัวติดตั้งที่เป็นอันตรายซึ่งแพร่กระจายผ่านโดเมนที่ลงทะเบียนใหม่ download.eternldesktop.network
ไฟล์ Eternl.msi ขนาด 23.3 เมกะไบต์ประกอบด้วยเครื่องมือจัดการระยะไกล LogMeIn Resolve ที่ซ่อนอยู่ ซึ่งสร้างการเข้าถึงโดยไม่ได้รับอนุญาตต่อระบบเหยื่อโดยไม่ให้ผู้ใช้รับรู้
ตัวติดตั้งปลอมบรรจุ Trojan สำหรับการเข้าถึงระยะไกล
ตัวติดตั้ง MSI ที่เป็นอันตรายนี้มีการสร้างและวางไฟล์ปฏิบัติการชื่อ unattended-updater.exe ซึ่งมีชื่อไฟล์เดิม ในระหว่างการทำงาน ไฟล์ปฏิบัติการนี้จะสร้างโครงสร้างโฟลเดอร์ภายใต้ไดเรกทอรี Program Files ของระบบ
ตัวติดตั้งเขียนไฟล์การกำหนดค่าหลายไฟล์ รวมถึง unattended.json, logger.json, mandatory.json และ pc.json
การกำหนดค่าใน unattended.json ช่วยให้สามารถเข้าถึงระยะไกลได้โดยไม่ต้องให้ผู้ใช้โต้ตอบ
การวิเคราะห์เครือข่ายเปิดเผยว่า malware เชื่อมต่อกับโครงสร้างพื้นฐานของ GoTo Resolve ไฟล์ปฏิบัติการส่งข้อมูลเหตุการณ์ระบบในรูปแบบ JSON ไปยังเซิร์ฟเวอร์ระยะไกลโดยใช้ข้อมูลรับรอง API ที่ฝังไว้ในโค้ด
นักวิจัยด้านความปลอดภัยจัดประเภทพฤติกรรมนี้ว่าเป็นอันตรายร้ายแรง เครื่องมือการจัดการระยะไกลให้ความสามารถแก่ผู้โจมตีในการรักษาการเข้าถึงในระยะยาว การสั่งงานระยะไกล และการเก็บข้อมูลรับรองเมื่อถูกติดตั้งบนระบบเหยื่อ
อีเมลฟิชชิงรักษาโทนเสียงที่เป็นมืออาชีพและเรียบร้อย พร้อมไวยากรณ์ที่ถูกต้องและไม่มีข้อผิดพลาดในการสะกดคำ
ประกาศปลอมสร้างสำเนาเกือบสมบูรณ์ของการเปิดตัว Eternl Desktop อย่างเป็นทางการ พร้อมข้อความเกี่ยวกับความเข้ากันได้ของฮาร์ดแวร์วอลเล็ต การจัดการคีย์ในเครื่อง และการควบคุมการมอบหมายขั้นสูง
แคมเปญมุ่งเป้าไปที่ผู้ใช้ Cardano
ผู้โจมตีใช้แนวคิดการกำกับดูแลคริปโตเคอร์เรนซีและการอ้างอิงเฉพาะระบบนิเวศเพื่อแจกจ่ายเครื่องมือเข้าถึงแบบลับๆ
การอ้างอิงถึงรางวัลโทเค็น NIGHT และ ATMA ผ่านโปรแกรม Diffusion Staking Basket ทำให้แคมเปญปลอมดูเหมือนถูกต้องตามกฎหมาย
ผู้ใช้ Cardano ที่ต้องการเข้าร่วม staking หรือฟีเจอร์การกำกับดูแลเสี่ยงสูงจากกลยุทธ์ทางสังคมที่เลียนแบบความคืบหน้าของระบบนิเวศอย่างถูกต้องตามกฎหมาย
โดเมนที่ลงทะเบียนใหม่แจกจ่ายตัวติดตั้งโดยไม่มีการตรวจสอบอย่างเป็นทางการหรือการรับรองลายเซ็นดิจิทัล
ผู้ใช้ควรตรวจสอบความถูกต้องของซอฟต์แวร์เฉพาะผ่านช่องทางทางการเท่านั้นก่อนดาวน์โหลดแอปพลิเคชันวอลเล็ต
การวิเคราะห์มัลแวร์ของ Anurag เผยให้เห็นความพยายามในการละเมิดห่วงโซ่อุปทานเพื่อสร้างการเข้าถึงโดยไม่ได้รับอนุญาตอย่างถาวร
เครื่องมือ GoTo Resolve ให้ความสามารถในการควบคุมระยะไกลแก่ผู้โจมตี ซึ่งเป็นภัยคุกคามต่อความปลอดภัยของวอลเล็ตและการเข้าถึงคีย์ส่วนตัว
ผู้ใช้ควรหลีกเลี่ยงการดาวน์โหลดแอปพลิเคชันวอลเล็ตจากแหล่งที่ไม่ผ่านการตรวจสอบหรือโดเมนที่ลงทะเบียนใหม่ ไม่ว่าจะเป็นอีเมลที่ดูเป็นมืออาชีพหรือมีความน่าเชื่อถือ
