Neue Phishing-Kampagne gegen Cardano-Nutzer
Eine neue Phishing-Kampagne richtet sich gezielt gegen Cardano-Nutzer, indem sie gefälschte E-Mails versendet, die den Download einer betrügerischen Eternl Desktop-Anwendung bewerben. Der Angriff nutzt professionell gestaltete Nachrichten, die auf NIGHT- und ATMA-Token-Belohnungen durch das Diffusion Staking Basket-Programm verweisen, um Glaubwürdigkeit zu schaffen.
Bösartiger Installer und Fernzugriff
Der Bedrohungsanalyst Anurag identifizierte einen bösartigen Installer, der über die neu registrierte Domain download.eternldesktop.network verbreitet wird. Die 23,3 Megabyte große Datei Eternl.msi enthält ein verstecktes LogMeIn Resolve-Tool zur Fernverwaltung, das unbefugten Zugriff auf die Systeme der Opfer ermöglicht, ohne dass diese es bemerken.
„Der bösartige MSI-Installer trägt eine spezifische Signatur und legt eine ausführbare Datei namens unattended-updater.exe mit dem ursprünglichen Dateinamen ab.“
Während der Ausführung erstellt die ausführbare Datei eine Ordnerstruktur im Verzeichnis „Program Files“ des Systems. Der Installer schreibt mehrere Konfigurationsdateien, darunter unattended.json, logger.json, mandatory.json und pc.json. Die Konfiguration unattended.json ermöglicht die Funktionalität des Fernzugriffs, ohne dass eine Benutzerinteraktion erforderlich ist.
Kritisches Verhalten der Malware
Netzwerkanalysen zeigen, dass die Malware mit der GoTo Resolve-Infrastruktur kommuniziert. Die ausführbare Datei überträgt Systemereignisinformationen im JSON-Format an entfernte Server unter Verwendung fest codierter API-Anmeldeinformationen. Sicherheitsforscher klassifizieren dieses Verhalten als kritisch.
Fernverwaltungstools bieten Bedrohungsakteuren die Möglichkeit zur langfristigen Persistenz, zur Ausführung von Remote-Befehlen und zum Sammeln von Anmeldeinformationen, sobald sie auf den Systemen der Opfer installiert sind.
Gefährliche Phishing-E-Mails
Die Phishing-E-Mails zeichnen sich durch einen polierten, professionellen Ton aus, mit korrekter Grammatik und ohne Rechtschreibfehler. Die betrügerische Ankündigung erstellt eine nahezu identische Kopie der offiziellen Eternl Desktop-Version, einschließlich Informationen über die Kompatibilität mit Hardware-Wallets, lokale Schlüsselverwaltung und erweiterte Delegationskontrollen.
Die Angreifer nutzen Narrative zur Kryptowährungs-Governance und spezifische Verweise auf das Ökosystem, um verdeckte Zugriffstools zu verbreiten. Verweise auf NIGHT- und ATMA-Token-Belohnungen durch das Diffusion Staking Basket-Programm verleihen der bösartigen Kampagne eine falsche Legitimität.
Schutzmaßnahmen für Nutzer
Cardano-Nutzer, die an Staking- oder Governance-Funktionen teilnehmen möchten, sind einem hohen Risiko durch Social-Engineering-Taktiken ausgesetzt, die legitime Entwicklungen im Ökosystem nachahmen. Die neu registrierte Domain verteilt den Installer ohne offizielle Überprüfung oder digitale Signaturvalidierung.
Nutzer sollten die Authentizität von Software ausschließlich über offizielle Kanäle überprüfen, bevor sie Wallet-Anwendungen herunterladen. Anurags Malware-Analyse enthüllte den Versuch des Missbrauchs der Lieferkette, der darauf abzielte, persistierenden unbefugten Zugriff zu etablieren. Das GoTo Resolve-Tool bietet Angreifern Fernsteuerungsfunktionen, die die Sicherheit von Wallets und den Zugriff auf private Schlüssel gefährden.
Nutzer sollten vermeiden, Wallet-Anwendungen aus nicht verifizierten Quellen oder neu registrierten Domains herunterzuladen, unabhängig von der Politur oder dem professionellen Erscheinungsbild der E-Mails.
