Phishing-kampanje mot Cardano-brukere
En phishing-kampanje retter seg mot Cardano-brukere gjennom falske e-poster som promoterer en svindelversjon av Eternl Desktop-applikasjonen. Angrepet utnytter profesjonelt utformede meldinger som refererer til NIGHT- og ATMA-token belønninger gjennom Diffusion Staking Basket-programmet for å etablere troverdighet.
Identifikasjon av ondsinnet programvare
Trusseljeger Anurag identifiserte et ondsinnet installasjonsprogram distribuert gjennom et nyregistrert domene, download.eternldesktop.network. Den 23,3 megabyte store Eternl.msi-filen inneholder et skjult LogMeIn Resolve-fjernstyringsverktøy som gir uautorisert tilgang til offerets systemer uten brukerens viten.
Det ondsinnede MSI-installasjonsprogrammet bærer et spesifikt navn og slipper en kjørbar fil kalt unattended-updater.exe med det opprinnelige filnavnet.
Fjernaksess og konfigurasjonsfiler
Under kjøring oppretter den kjørbare filen en mappestruktur under systemets Program Files-katalog. Installasjonsprogrammet skriver flere konfigurasjonsfiler, inkludert unattended.json, logger.json, mandatory.json og pc.json. Konfigurasjonen i unattended.json muliggjør fjernaksessfunksjonalitet uten å kreve brukerinteraksjon.
Nettverksanalyse avslører at skadelig programvare kobler seg til GoTo Resolve-infrastrukturen. Den kjørbare filen overfører systemhendelsesinformasjon i JSON-format til eksterne servere ved hjelp av hardkodede API-legitimasjoner. Sikkerhetsforskere klassifiserer atferden som kritisk.
Risiko for Cardano-brukere
Fjernstyringsverktøy gir trusselaktører muligheter for langsiktig vedvarende tilgang, fjernkommandoeksekvering og innhøsting av legitimasjoner når de er installert på offerets systemer. Phishing-e-postene opprettholder en polert, profesjonell tone med korrekt grammatikk og ingen stavefeil.
Den svindelaktige kunngjøringen lager en nesten identisk kopi av den offisielle Eternl Desktop-utgivelsen, komplett med meldinger om maskinvare-lommebokkompatibilitet, lokal nøkkelhåndtering og avanserte delegeringskontroller.
Angriperne utnytter kryptovaluta-governance-narrativer og økosystemspesifikke referanser for å distribuere skjulte tilgangsverktøy. Referanser til NIGHT- og ATMA-token belønninger gir falsk legitimitet til den ondsinnede kampanjen.
Forebygging av angrep
Cardano-brukere som ønsker å delta i staking eller governance-funksjoner står overfor høy risiko fra sosial ingeniørkunst som etterligner legitime økosystemutviklinger. Det nyregistrerte domenet distribuerer installasjonsprogrammet uten offisiell verifisering eller digital signaturvalidering.
Brukere bør verifisere programvareautentisitet utelukkende gjennom offisielle kanaler før de laster ned lommebokapplikasjoner. Anurags malware-analyse avdekket forsøk på misbruk av forsyningskjeden som hadde som mål å etablere vedvarende uautorisert tilgang.
GoTo Resolve-verktøyet gir angriperne fjernkontrollmuligheter som kompromitterer lommebokens sikkerhet og tilgang til private nøkler. Brukere bør unngå å laste ned lommebokapplikasjoner fra uverifiserte kilder eller nyregistrerte domener, uansett hvor polert e-posten eller profesjonelt utseendet er.
