حملة تصيد احتيالي تستهدف مستخدمي Cardano من خلال رسائل بريد إلكتروني مزيفة تروج لتنزيل تطبيق Eternl Desktop احتيالي.
يستفيد الهجوم من رسائل مصممة بشكل احترافي تشير إلى مكافآت رموز NIGHT وATMA من خلال برنامج Diffusion Staking Basket لإنشاء مصداقية.
حدد صائد التهديدات Anurag برنامج تثبيت ضار يتم توزيعه من خلال نطاق مسجل حديثًا، download.eternldesktop.network.
يحتوي ملف Eternl.msi بحجم 23.3 ميجابايت على أداة إدارة عن بعد LogMeIn Resolve مخفية تنشئ وصولاً غير مصرح به إلى أنظمة الضحايا دون وعي المستخدم.
برنامج تثبيت مزيف يحتوي على حصان طروادة للوصول عن بعد
يحمل برنامج تثبيت MSI الضار ملفًا محددًا ويسقط ملفًا قابلاً للتنفيذ يسمى unattended-updater.exe باسم الملف الأصلي. أثناء وقت التشغيل، ينشئ الملف القابل للتنفيذ بنية مجلد ضمن دليل Program Files بالنظام.
يكتب برنامج التثبيت ملفات تكوين متعددة بما في ذلك unattended.json وlogger.json وmandatory.json وpc.json.
يتيح تكوين unattended.json وظيفة الوصول عن بعد دون الحاجة إلى تفاعل المستخدم.
يكشف تحليل الشبكة أن البرامج الضارة تتصل ببنية GoTo Resolve التحتية. ينقل الملف القابل للتنفيذ معلومات أحداث النظام بتنسيق JSON إلى خوادم بعيدة باستخدام بيانات اعتماد API مشفرة.
يصنف باحثو الأمن السلوك على أنه حرج. توفر أدوات الإدارة عن بعد للجهات التهديدية قدرات للاستمرارية طويلة الأجل وتنفيذ الأوامر عن بعد وحصاد بيانات الاعتماد بمجرد تثبيتها على أنظمة الضحايا.
تحافظ رسائل التصيد الاحتيالي على نبرة هادئة ومحترفة مع قواعد نحوية صحيحة وعدم وجود أخطاء إملائية.
ينشئ الإعلان الاحتيالي نسخة متطابقة تقريبًا من إصدار Eternl Desktop الرسمي، كاملة مع رسائل حول توافق محفظة الأجهزة وإدارة المفاتيح المحلية وعناصر التفويض المتقدمة.
الحملة تستهدف مستخدمي Cardano
يستخدم المهاجمون سرديات حوكمة العملات الرقمية ومراجع خاصة بالنظام البيئي لتوزيع أدوات وصول خفية.
تضفي الإشارات إلى مكافآت رموز NIGHT وATMA من خلال برنامج Diffusion Staking Basket شرعية زائفة على الحملة الضارة.
يواجه مستخدمو Cardano الذين يسعون للمشاركة في ميزات التخزين أو الحوكمة مخاطر عالية من تكتيكات الهندسة الاجتماعية التي تحاكي التطورات المشروعة للنظام البيئي.
يوزع النطاق المسجل حديثًا برنامج التثبيت دون التحقق الرسمي أو التحقق من صحة التوقيع الرقمي.
يجب على المستخدمين التحقق من صحة البرامج حصريًا من خلال قنوات المصادقة الرسمية قبل تنزيل تطبيقات المحفظة.
كشف تحليل البرامج الضارة الذي أجراه Anurag عن محاولة إساءة استخدام سلسلة التوريد تهدف إلى إنشاء وصول غير مصرح به مستمر.
توفر أداة GoTo Resolve للمهاجمين قدرات التحكم عن بعد التي تعرض أمن المحفظة والوصول إلى المفتاح الخاص للخطر.
يجب على المستخدمين تجنب تنزيل تطبيقات المحفظة من قنوات المصادقة غير الرسمية أو النطاقات المسجلة حديثًا بغض النظر عن صقل البريد الإلكتروني أو المظهر الاحترافي.
Source: https://crypto.news/cardano-wallets-under-threat-phishing-campaign/
