«Фішингова кампанія націлена на користувачів Cardano через підроблені електронні листи, які рекламують шахрайське завантаження програми Eternl Desktop. Атака використовує професійно створені повідомлення, які посилаються на винагороди токенів NIGHT і ATMA через програму Diffusion Staking Basket, щоб завоювати довіру. Мисливець за загрозами Anurag виявив шкідливий інсталятор, який розповсюджується через нещодавно зареєстрований домен download.eternldesktop.network. 23,3 мегабайт», — пишуть на: www.crypto.news
Фішингова кампанія націлена на користувачів Cardano через підроблені електронні листи, які рекламують шахрайське завантаження програми Eternl Desktop.
Атака використовує професійно створені повідомлення, які посилаються на винагороди токенів NIGHT і ATMA через програму Diffusion Staking Basket, щоб завоювати довіру.
Мисливець за загрозами Anurag виявив шкідливий інсталятор, який розповсюджується через нещодавно зареєстрований домен download.eternldesktop.network.
Файл Eternl.msi розміром 23,3 мегабайта містить прихований інструмент віддаленого керування LogMeIn Resolve, який забезпечує несанкціонований доступ до систем-жертв без відома користувача.
Фальшивий інсталятор містить троян віддаленого доступу
Шкідливий інсталятор MSI містить певний і видаляє виконуваний файл під назвою unattended-updater.exe з оригінальною назвою файлу. Під час виконання виконуваний файл створює структуру папок у каталозі Program Files системи.
Інсталятор записує декілька файлів конфігурації, зокрема unattended.json, logger.json, mandatory.json і pc.json.
Конфігурація unattended.json забезпечує віддалений доступ без участі користувача.
Аналіз мережі показує, що зловмисне програмне забезпечення підключається до інфраструктури GoTo Resolve. Виконуваний файл передає інформацію про системні події у форматі JSON на віддалені сервери за допомогою жорстко закодованих облікових даних API.
Дослідники безпеки класифікують поведінку як критичну. Інструменти віддаленого керування надають суб’єктам загрози можливості для тривалого збереження, віддаленого виконання команд і збору облікових даних після встановлення в системах-жертвах.
Фішингові електронні листи зберігають витончений професійний тон із належною граматикою та без орфографічних помилок.
Шахрайське оголошення створює майже ідентичну копію офіційного випуску Eternl Desktop, доповнену повідомленнями про сумісність апаратного гаманця, локальне керування ключами та розширені елементи керування делегуванням.
Кампанія націлена на користувачів Cardano
Зловмисники використовують наративи управління криптовалютою та посилання на конкретні екосистеми, щоб поширювати інструменти прихованого доступу.
Посилання на винагороди токенів NIGHT і ATMA через програму Diffusion Staking Basket надають неправдиву легітимність зловмисній кампанії.
Користувачі Cardano, які прагнуть брати участь у функціях стекінгу чи управління, стикаються з високим ризиком через тактику соціальної інженерії, яка імітує законні розробки екосистеми.
Щойно зареєстрований домен розповсюджує програму встановлення без офіційної перевірки чи перевірки цифрового підпису.
Користувачі повинні перевіряти автентичність програмного забезпечення виключно через офіційні канали перед завантаженням програм гаманця.
Аналіз зловмисного ПЗ, проведений Anurag, виявив спробу зловживання ланцюгом поставок, спрямовану на встановлення постійного несанкціонованого доступу.
Інструмент GoTo Resolve надає зловмисникам можливості дистанційного керування, які ставлять під загрозу безпеку гаманця та доступ до закритого ключа.
Користувачам слід уникати завантаження програм гаманця з неперевірених джерел або нещодавно зареєстрованих доменів, незалежно від досконалості електронної пошти чи професійного вигляду.