Eine neue Phishing-Kampagne<\/strong> richtet sich gezielt gegen Cardano-Nutzer, indem sie gef\u00e4lschte E-Mails versendet, die den Download einer betr\u00fcgerischen Eternl Desktop-Anwendung<\/strong> bewerben. Der Angriff nutzt professionell gestaltete Nachrichten, die auf NIGHT-<\/strong> und ATMA-Token-Belohnungen<\/strong> durch das Diffusion Staking Basket-Programm<\/em> verweisen, um Glaubw\u00fcrdigkeit zu schaffen.<\/p>\n Der Bedrohungsanalyst Anurag<\/strong> identifizierte einen b\u00f6sartigen Installer, der \u00fcber die neu registrierte Domain download.eternldesktop.network<\/strong> verbreitet wird. Die 23,3 Megabyte gro\u00dfe Datei Eternl.msi<\/strong> enth\u00e4lt ein verstecktes LogMeIn Resolve-Tool<\/strong> zur Fernverwaltung, das unbefugten Zugriff auf die Systeme der Opfer erm\u00f6glicht, ohne dass diese es bemerken.<\/p>\n \u201eDer b\u00f6sartige MSI-Installer tr\u00e4gt eine spezifische Signatur und legt eine ausf\u00fchrbare Datei namens unattended-updater.exe<\/strong> mit dem urspr\u00fcnglichen Dateinamen ab.\u201c<\/p>\n<\/blockquote>\n W\u00e4hrend der Ausf\u00fchrung erstellt die ausf\u00fchrbare Datei eine Ordnerstruktur im Verzeichnis „Program Files“<\/strong> des Systems. Der Installer schreibt mehrere Konfigurationsdateien, darunter unattended.json<\/strong>, logger.json<\/strong>, mandatory.json<\/strong> und pc.json<\/strong>. Die Konfiguration unattended.json<\/strong> erm\u00f6glicht die Funktionalit\u00e4t des Fernzugriffs, ohne dass eine Benutzerinteraktion erforderlich ist.<\/p>\n Netzwerkanalysen zeigen, dass die Malware mit der GoTo Resolve-Infrastruktur<\/strong> kommuniziert. Die ausf\u00fchrbare Datei \u00fcbertr\u00e4gt Systemereignisinformationen im JSON-Format<\/em> an entfernte Server unter Verwendung fest codierter API-Anmeldeinformationen. Sicherheitsforscher klassifizieren dieses Verhalten als kritisch<\/strong>.<\/p>\n Fernverwaltungstools bieten Bedrohungsakteuren die M\u00f6glichkeit zur langfristigen Persistenz, zur Ausf\u00fchrung von Remote-Befehlen und zum Sammeln von Anmeldeinformationen, sobald sie auf den Systemen der Opfer installiert sind.<\/p>\n Die Phishing-E-Mails zeichnen sich durch einen polierten, professionellen Ton aus, mit korrekter Grammatik und ohne Rechtschreibfehler. Die betr\u00fcgerische Ank\u00fcndigung erstellt eine nahezu identische Kopie der offiziellen Eternl Desktop-Version<\/strong>, einschlie\u00dflich Informationen \u00fcber die Kompatibilit\u00e4t mit Hardware-Wallets, lokale Schl\u00fcsselverwaltung und erweiterte Delegationskontrollen.<\/p>\n Die Angreifer nutzen Narrative zur Kryptow\u00e4hrungs-Governance<\/strong> und spezifische Verweise auf das \u00d6kosystem, um verdeckte Zugriffstools zu verbreiten. Verweise auf NIGHT-<\/strong> und ATMA-Token-Belohnungen<\/strong> durch das Diffusion Staking Basket-Programm<\/em> verleihen der b\u00f6sartigen Kampagne eine falsche Legitimit\u00e4t.<\/p>\n Cardano-Nutzer, die an Staking- oder Governance-Funktionen teilnehmen m\u00f6chten, sind einem hohen Risiko durch Social-Engineering-Taktiken<\/strong> ausgesetzt, die legitime Entwicklungen im \u00d6kosystem nachahmen. Die neu registrierte Domain verteilt den Installer ohne offizielle \u00dcberpr\u00fcfung oder digitale Signaturvalidierung.<\/p>\n Nutzer sollten die Authentizit\u00e4t von Software ausschlie\u00dflich \u00fcber offizielle Kan\u00e4le \u00fcberpr\u00fcfen, bevor sie Wallet-Anwendungen herunterladen. Anurags Malware-Analyse enth\u00fcllte den Versuch des Missbrauchs der Lieferkette, der darauf abzielte, persistierenden unbefugten Zugriff zu etablieren. Das GoTo Resolve-Tool<\/strong> bietet Angreifern Fernsteuerungsfunktionen, die die Sicherheit von Wallets und den Zugriff auf private Schl\u00fcssel gef\u00e4hrden.<\/p>\n Nutzer sollten vermeiden, Wallet-Anwendungen aus nicht verifizierten Quellen oder neu registrierten Domains herunterzuladen, unabh\u00e4ngig von der Politur oder dem professionellen Erscheinungsbild der E-Mails.<\/p>\n","protected":false},"excerpt":{"rendered":" Neue Phishing-Kampagne gegen Cardano-Nutzer Eine neue Phishing-Kampagne richtet sich gezielt gegen Cardano-Nutzer, indem sie gef\u00e4lschte E-Mails versendet, die den Download einer betr\u00fcgerischen Eternl Desktop-Anwendung bewerben. Der Angriff nutzt professionell gestaltete Nachrichten, die auf NIGHT- und ATMA-Token-Belohnungen durch das Diffusion Staking Basket-Programm verweisen, um Glaubw\u00fcrdigkeit zu schaffen. B\u00f6sartiger Installer und Fernzugriff Der Bedrohungsanalyst Anurag identifizierte einen b\u00f6sartigen Installer, der \u00fcber die neu registrierte Domain download.eternldesktop.network verbreitet wird. Die 23,3 Megabyte gro\u00dfe Datei Eternl.msi enth\u00e4lt ein verstecktes LogMeIn Resolve-Tool zur Fernverwaltung, das unbefugten Zugriff auf die Systeme der Opfer erm\u00f6glicht, ohne dass diese es bemerken. \u201eDer b\u00f6sartige MSI-Installer tr\u00e4gt eine spezifische Signatur<\/p>\n","protected":false},"author":3,"featured_media":12516,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[134,65,9529],"class_list":["post-12517","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-cardano","tag-hack","tag-night"],"yoast_description":"Eine Phishing-Kampagne zielt auf Cardano-Nutzer ab, indem sie gef\u00e4lschte E-Mails versendet, die eine b\u00f6sartige Eternl Desktop-App bewerben und die Sicherheit von Wallets sowie pers\u00f6nliche Daten gef\u00e4hrden.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/12517","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/comments?post=12517"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/12517\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media\/12516"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media?parent=12517"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/categories?post=12517"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/tags?post=12517"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}B\u00f6sartiger Installer und Fernzugriff<\/h2>\n
\n
Kritisches Verhalten der Malware<\/h2>\n
Gef\u00e4hrliche Phishing-E-Mails<\/h2>\n
Schutzma\u00dfnahmen f\u00fcr Nutzer<\/h2>\n