Campagne de Phishing Ciblant les Utilisateurs de Cardano
Une campagne de phishing vise les utilisateurs de Cardano à travers de faux e-mails promouvant un téléchargement frauduleux de l’application Eternl Desktop. Cette attaque exploite des messages soigneusement rédigés, faisant référence aux récompenses de jetons NIGHT et ATMA via le programme Diffusion Staking Basket, afin d’établir sa crédibilité.
Identité de l’Installateur Malveillant
Le chasseur de menaces Anurag a identifié un installateur malveillant distribué par un domaine nouvellement enregistré, download.eternldesktop.network. Le fichier Eternl.msi, d’une taille de 23,3 mégaoctets, contient un outil de gestion à distance, LogMeIn Resolve, dissimulé, qui permet d’établir un accès non autorisé aux systèmes des victimes sans que l’utilisateur en soit conscient.
Cet installateur malveillant porte un nom spécifique et dépose un exécutable appelé unattended-updater.exe, tout en conservant le nom de fichier d’origine.
Fonctionnalités et Comportement du Malware
Lors de son exécution, l’exécutable crée une structure de dossiers sous le répertoire Program Files du système. L’installateur écrit plusieurs fichiers de configuration, notamment unattended.json, logger.json, mandatory.json et pc.json. La configuration unattended.json active la fonctionnalité d’accès à distance sans nécessiter d’interaction de l’utilisateur.
L’analyse réseau révèle que le logiciel malveillant se connecte à l’infrastructure GoTo Resolve. L’exécutable transmet des informations sur les événements système au format JSON à des serveurs distants, en utilisant des identifiants API codés en dur. Les chercheurs en sécurité classifient ce comportement comme critique.
Risques et Précautions à Prendre
Les outils de gestion à distance offrent aux acteurs de la menace des capacités de persistance à long terme, d’exécution de commandes à distance et de collecte de données d’identification une fois installés sur les systèmes des victimes. Les e-mails de phishing maintiennent un ton poli et professionnel, avec une grammaire correcte et aucune faute d’orthographe.
L’annonce frauduleuse crée une réplique presque identique de la version officielle d’Eternl Desktop, incluant des messages sur la compatibilité des portefeuilles matériels, la gestion locale des clés et des contrôles de délégation avancés.
Les attaquants exploitent les récits de gouvernance de la cryptomonnaie et des références spécifiques à l’écosystème pour distribuer des outils d’accès clandestins. Les utilisateurs de Cardano cherchant à participer aux fonctionnalités de staking ou de gouvernance sont confrontés à un risque élevé en raison de tactiques d’ingénierie sociale qui imitent les développements légitimes de l’écosystème.
Conseils de Sécurité
Le domaine nouvellement enregistré distribue l’installateur sans vérification officielle ni validation de signature numérique. Les utilisateurs doivent impérativement vérifier l’authenticité des logiciels exclusivement par des canaux officiels avant de télécharger des applications de portefeuille.
L’analyse de malware d’Anurag a révélé une tentative d’abus de la chaîne d’approvisionnement visant à établir un accès non autorisé persistant. L’outil GoTo Resolve fournit aux attaquants des capacités de contrôle à distance qui compromettent la sécurité des portefeuilles et l’accès aux clés privées.
Les utilisateurs doivent éviter de télécharger des applications de portefeuille à partir de sources non vérifiées ou de domaines nouvellement enregistrés, quelle que soit la politesse de l’e-mail ou l’apparence professionnelle.
