Campagna di Phishing contro gli Utenti di Cardano
Una campagna di phishing sta prendendo di mira gli utenti di Cardano attraverso email false che promuovono il download di un’applicazione fraudolenta chiamata Eternl Desktop. L’attacco sfrutta messaggi elaborati in modo professionale, facendo riferimento a ricompense in token NIGHT e ATMA tramite il programma Diffusion Staking Basket per stabilire credibilità.
Dettagli Tecnici dell’Attacco
Il cacciatore di minacce Anurag ha identificato un installer malevolo distribuito attraverso un dominio recentemente registrato, download.eternldesktop.network. Il file Eternl.msi, di 23,3 megabyte, contiene uno strumento di gestione remota, LogMeIn Resolve, nascosto, che stabilisce un accesso non autorizzato ai sistemi delle vittime senza che l’utente ne sia a conoscenza.
L’installer MSI malevolo porta un nome specifico e scarica un eseguibile chiamato unattended-updater.exe. Durante l’esecuzione, l’eseguibile crea una struttura di cartelle nella directory Program Files del sistema e scrive diversi file di configurazione, tra cui unattended.json, logger.json, mandatory.json e pc.json.
La configurazione unattended.json abilita la funzionalità di accesso remoto senza richiedere interazione da parte dell’utente. L’analisi della rete rivela che il malware si connette all’infrastruttura di GoTo Resolve, trasmettendo informazioni sugli eventi di sistema in formato JSON a server remoti utilizzando credenziali API hardcoded. I ricercatori di sicurezza classificano questo comportamento come critico.
Implicazioni per la Sicurezza
Gli strumenti di gestione remota forniscono agli attori delle minacce capacità di persistenza a lungo termine, esecuzione di comandi remoti e raccolta di credenziali una volta installati sui sistemi delle vittime. Le email di phishing mantengono un tono raffinato e professionale, con grammatica corretta e senza errori di ortografia.
L’annuncio fraudolento crea una replica quasi identica del rilascio ufficiale di Eternl Desktop, completa di messaggi sulla compatibilità con i wallet hardware, gestione locale delle chiavi e controlli avanzati di delega.
Gli aggressori sfruttano le narrazioni di governance delle criptovalute e riferimenti specifici all’ecosistema per distribuire strumenti di accesso nascosti. I riferimenti alle ricompense in token NIGHT e ATMA tramite il programma Diffusion Staking Basket conferiscono falsa legittimità alla campagna malevola.
Raccomandazioni per gli Utenti
Gli utenti di Cardano che cercano di partecipare a funzionalità di staking o governance affrontano un alto rischio a causa delle tattiche di ingegneria sociale che imitano sviluppi legittimi dell’ecosistema. Il dominio recentemente registrato distribuisce l’installer senza verifica ufficiale o validazione della firma digitale.
Gli utenti dovrebbero verificare l’autenticità del software esclusivamente attraverso canali ufficiali prima di scaricare applicazioni per wallet. L’analisi malware di Anurag ha rivelato il tentativo di abuso della supply chain, mirato a stabilire un accesso non autorizzato persistente.
Lo strumento GoTo Resolve fornisce agli aggressori capacità di controllo remoto che compromettono la sicurezza del wallet e l’accesso alla chiave privata. Gli utenti dovrebbero evitare di scaricare applicazioni per wallet da fonti non verificate o domini recentemente registrati, indipendentemente dalla cura dell’email o dall’aspetto professionale.
