Гаманці Cardano під загрозою? з'явилася підозріла фішингова кампанія

Фішингова кампанія націлена на користувачів Cardano через фальшиві електронні листи, що пропонують завантажити шахрайський додаток Eternl Desktop.

Атака використовує професійно створені повідомлення, що посилаються на нагороди у токенах NIGHT та ATMA через програму Diffusion Staking Basket для створення довіри.

Відповідальний за пошук загроз Анураг виявив шкідливий інсталятор, розповсюджений через новозареєстрований домен download.eternldesktop.network.

Файл Eternl.msi розміром 23.3 мегабайти містить прихований інструмент віддаленого управління LogMeIn Resolve, який встановлює несанкціонований доступ до систем жертв без їхньої обізнаності.

Фальшивий інсталятор містить троян віддаленого доступу

Шкідливий MSI-інсталятор виконує конкретну функцію і створює виконуваний файл unattended-updater.exe з оригінальним ім’ям. Під час роботи виконуваний файл створює структуру папок у каталозі Program Files системи.

Інсталятор записує кілька конфігураційних файлів, зокрема unattended.json, logger.json, mandatory.json і pc.json.

Конфігурація unattended.json активує функцію віддаленого доступу без необхідності взаємодії користувача.

Мережевий аналіз показує, що шкідливе програмне забезпечення підключається до інфраструктури GoTo Resolve. Виконуваний файл передає інформацію про системні події у форматі JSON на віддалені сервери, використовуючи закодовані API-ключі.

Дослідники безпеки класифікують цю поведінку як критичну. Інструменти віддаленого управління надають зловмисникам можливості для довгострокової стійкості, віддаленого виконання команд і збору облікових даних після встановлення на системи жертв.

Фішингові листи зберігають професійний і відполірований тон із правильною граматикою та без орфографічних помилок.

Шахрайське повідомлення створює майже ідентичну копію офіційного релізу Eternl Desktop, з повідомленнями про сумісність із апаратними гаманцями, локальне управління ключами та розширені функції делегування.

Кампанія націлена на користувачів Cardano

Зловмисники використовують наративи управління криптовалютами та специфічні для екосистеми посилання для розповсюдження прихованих інструментів доступу.

Посилання на нагороди у токенах NIGHT та ATMA через програму Diffusion Staking Basket додають хибну легітимність цій шкідливій кампанії.

Користувачі Cardano, які прагнуть взяти участь у стейкінгу або функціях управління, стикаються з високим ризиком через соціальну інженерію, що імітує легітимний розвиток екосистеми.

Новозареєстрований домен розповсюджує інсталятор без офіційної перевірки або цифрового підпису.

Користувачам слід перевіряти автентичність програмного забезпечення виключно через офіційні канали перед завантаженням гаманських додатків.

Аналіз шкідливого ПЗ Анурага виявив спробу зловживання ланцюгом поставок для встановлення стійкого несанкціонованого доступу.

Інструмент GoTo Resolve надає зловмисникам можливості віддаленого керування, що компрометує безпеку гаманця та доступ до приватних ключів.

Користувачам слід уникати завантаження гаманських додатків з ненадійних джерел або новозареєстрованих доменів, незалежно від професійного вигляду або відполірованості листа.