Фишинговая кампания нацелена на пользователей Cardano
Фишинговая кампания нацелена на пользователей Cardano через поддельные электронные письма, предлагающие загрузку мошеннического приложения Eternl Desktop. Атака использует профессионально составленные сообщения, которые ссылаются на вознаграждения токенами NIGHT и ATMA в рамках программы Diffusion Staking Basket, чтобы установить доверие.
Обнаружение вредоносного ПО
Охотник за угрозами Anurag выявил вредоносный установщик, распространяемый через недавно зарегистрированный домен download.eternldesktop.network. Файл Eternl.msi размером 23,3 мегабайта содержит скрытый инструмент удаленного управления LogMeIn Resolve, который предоставляет злоумышленникам несанкционированный доступ к системам жертв без ведома пользователей.
Структура и функциональность вредоносного установщика
Вредоносный MSI-установщик содержит специфический код и создает исполняемый файл под названием unattended-updater.exe с оригинальным именем файла. Во время выполнения исполняемый файл создает структуру папок в каталоге Program Files системы. Установщик записывает несколько конфигурационных файлов, включая unattended.json, logger.json, mandatory.json и pc.json.
Конфигурация unattended.json включает функциональность удаленного доступа без необходимости взаимодействия с пользователем. Сетевой анализ показывает, что вредоносное ПО подключается к инфраструктуре GoTo Resolve. Исполняемый файл передает информацию о системных событиях в формате JSON на удаленные серверы, используя жестко закодированные учетные данные API. Исследователи безопасности классифицируют это поведение как критическое.
Тактики социального инжиниринга
Фишинговые электронные письма сохраняют отполированный, профессиональный тон с правильной грамматикой и без орфографических ошибок. Мошенническое объявление создает почти идентичную реплику официального релиза Eternl Desktop, включая сообщения о совместимости с аппаратными кошельками, локальном управлении ключами и расширенных контролях делегирования.
Злоумышленники используют нарративы управления криптовалютой и специфические ссылки на экосистему для распространения скрытых инструментов доступа. Ссылки на вознаграждения токенами NIGHT и ATMA через программу Diffusion Staking Basket придают ложную легитимность вредоносной кампании.
Рекомендации для пользователей
Пользователи Cardano, стремящиеся участвовать в функциях стекинга или управления, сталкиваются с высоким риском от тактик социального инжиниринга, имитирующих законные разработки экосистемы. Недавно зарегистрированный домен распространяет установщик без официальной проверки или валидации цифровой подписи.
Пользователи должны проверять подлинность программного обеспечения исключительно через официальные каналы перед загрузкой приложений для кошельков.
Заключение
Анализ вредоносного ПО Anurag выявил попытку злоупотребления цепочкой поставок, направленную на установление постоянного несанкционированного доступа. Инструмент GoTo Resolve предоставляет злоумышленникам возможности удаленного управления, которые компрометируют безопасность кошельков и доступ к приватным ключам.
Пользователи должны избегать загрузки приложений для кошельков из непроверенных источников или недавно зарегистрированных доменов, независимо от полировки электронных писем или профессионального внешнего вида.
