Une campagne de hameçonnage cible les utilisateurs de Cardano via de faux e-mails promouvant un téléchargement frauduleux de l'application Eternl Desktop.
L'attaque exploite des messages élaborés professionnellement faisant référence aux récompenses de tokens NIGHT et ATMA via le programme Diffusion Staking Basket pour établir sa crédibilité.
Le chasseur de menaces Anurag a identifié un installateur malveillant distribué via un domaine nouvellement enregistré, download.eternldesktop.network.
Le fichier Eternl.msi de 23,3 mégaoctets contient un outil de gestion à distance LogMeIn Resolve caché qui établit un accès non autorisé aux systèmes des victimes sans que l'utilisateur en ait conscience.
Un faux installateur contient un cheval de Troie d'accès à distance
L'installateur MSI malveillant contient un élément spécifique et dépose un exécutable appelé unattended-updater.exe avec le nom de fichier d'origine. Lors de l'exécution, l'exécutable crée une structure de dossiers dans le répertoire Program Files du système.
L'installateur écrit plusieurs fichiers de configuration incluant unattended.json, logger.json, mandatory.json et pc.json.
La configuration unattended.json active la fonctionnalité d'accès à distance sans nécessiter d'interaction de l'utilisateur.
L'analyse réseau révèle que le logiciel malveillant se connecte à l'infrastructure GoTo Resolve. L'exécutable transmet des informations d'événements système au format JSON vers des serveurs distants en utilisant des identifiants API codés en dur.
Les chercheurs en sécurité classifient ce comportement comme critique. Les outils de gestion à distance fournissent aux acteurs malveillants des capacités de persistance à long terme, d'exécution de commandes à distance et de collecte d'identifiants une fois installés sur les systèmes des victimes.
Les e-mails de hameçonnage maintiennent un ton soigné et professionnel avec une grammaire correcte et sans fautes d'orthographe.
L'annonce frauduleuse crée une réplique presque identique de la version officielle d'Eternl Desktop, complète avec des messages concernant la compatibilité des portefeuilles matériels, la gestion locale des clés et les contrôles de délégation avancés.
La campagne cible les utilisateurs de Cardano
Les attaquants exploitent les récits de gouvernance des cryptomonnaies et les références spécifiques à l'écosystème pour distribuer des outils d'accès dissimulés.
Les références aux récompenses de tokens NIGHT et ATMA via le programme Diffusion Staking Basket confèrent une fausse légitimité à la campagne malveillante.
Les utilisateurs de Cardano cherchant à participer aux fonctionnalités de staking ou de gouvernance font face à un risque élevé de tactiques d'ingénierie sociale qui imitent les développements légitimes de l'écosystème.
Le domaine nouvellement enregistré distribue l'installateur sans vérification officielle ni validation de signature numérique.
Les utilisateurs doivent vérifier l'authenticité des logiciels exclusivement via des canaux officiels avant de télécharger des applications de portefeuille.
L'analyse de logiciels malveillants d'Anurag a révélé une tentative d'abus de la chaîne d'approvisionnement visant à établir un accès non autorisé persistant.
L'outil GoTo Resolve fournit aux attaquants des capacités de contrôle à distance qui compromettent la sécurité du portefeuille et l'accès aux clés privées.
Les utilisateurs doivent éviter de télécharger des applications de portefeuille à partir de sources non vérifiées ou de domaines nouvellement enregistrés, quelle que soit la qualité de l'e-mail ou son apparence professionnelle.
Source: https://crypto.news/cardano-wallets-under-threat-phishing-campaign/
