Phishingkampanj mot Cardano-användare
En phishingkampanj riktar sig mot Cardano-användare genom falska e-postmeddelanden som främjar en bedräglig nedladdning av Eternl Desktop-applikationen. Attacken utnyttjar professionellt utformade meddelanden som refererar till NIGHT- och ATMA-tokenbelöningar genom Diffusion Staking Basket-programmet för att etablera trovärdighet.
Identifiering av skadlig programvara
Hotjägaren Anurag har identifierat en skadlig installerare som distribueras via en nyregistrerad domän, download.eternldesktop.network. Den 23,3 megabyte stora Eternl.msi-filen innehåller ett dolt LogMeIn Resolve-fjärrhanteringsverktyg som ger obehörig åtkomst till offrets system utan användarens vetskap.
Installation och funktionalitet
Den skadliga MSI-installatören skapar en körbar fil kallad unattended-updater.exe med det ursprungliga filnamnet. Under körning skapar den körbara filen en mappstruktur under systemets Program Files-katalog. Installatören skriver flera konfigurationsfiler, inklusive unattended.json, logger.json, mandatory.json och pc.json. Konfigurationen i unattended.json möjliggör fjärråtkomst utan att kräva användarinteraktion.
Nätverksanalys och säkerhetsrisker
Nätverksanalys avslöjar att den skadliga programvaran ansluter till GoTo Resolve-infrastrukturen. Den körbara filen överför systemhändelseinformation i JSON-format till fjärrservrar med hjälp av hårdkodade API-uppgifter. Säkerhetsforskare klassificerar detta beteende som kritiskt. Fjärrhanteringsverktyg ger hotaktörer möjligheter för långsiktig beständighet, fjärrkommandokörning och insamling av autentiseringsuppgifter när de väl har installerats på offrets system.
Bedrägliga e-postmeddelanden
Phishing-e-postmeddelandena upprätthåller en polerad och professionell ton med korrekt grammatik och inga stavfel. Den bedrägliga tillkännagivandet skapar en nästan identisk kopia av den officiella Eternl Desktop-utgåvan, komplett med meddelanden om hårdvaruplånboks-kompatibilitet, lokal nyckelhantering och avancerade delegeringskontroller. Angriparna utnyttjar kryptovaluta-governance-narrativ och ekosystemspecifika referenser för att distribuera dolda åtkomstverktyg.
Risker för Cardano-användare
Referenser till NIGHT- och ATMA-tokenbelöningar genom Diffusion Staking Basket-programmet ger falsk legitimitet till den skadliga kampanjen. Cardano-användare som söker delta i staking eller governance-funktioner står inför hög risk från social ingenjörstaktik som imiterar legitima ekosystemutvecklingar. Den nyregistrerade domänen distribuerar installatören utan officiell verifiering eller digital signaturvalidering.
Rekommendationer för användare
Användare bör verifiera mjukvarans äkthet uteslutande genom officiella kanaler innan de laddar ner plånboksapplikationer. Anurags analys av skadlig programvara avslöjade ett försök till leveranskedjeutnyttjande som syftade till att etablera bestående obehörig åtkomst. GoTo Resolve-verktyget ger angripare fjärrkontrollmöjligheter som komprometterar plånboksäkerhet och åtkomst till privata nycklar. Användare bör undvika att ladda ner plånboksapplikationer från icke verifierade källor eller nyregistrerade domäner, oavsett e-postens polering eller professionella utseende.
