Een phishing-campagne richt zich op Cardano-gebruikers via valse e-mails die een frauduleuze Eternl Desktop-applicatie download promoten.
De aanval maakt gebruik van professioneel opgestelde berichten die verwijzen naar NIGHT- en ATMA-tokenbeloningen via het Diffusion Staking Basket-programma om geloofwaardigheid te vestigen.
Threat hunter Anurag identificeerde een kwaadaardig installatieprogramma dat werd verspreid via een nieuw geregistreerd domein, download.eternldesktop.network.
Het 23,3 megabyte grote Eternl.msi-bestand bevat een verborgen LogMeIn Resolve externe beheertool die ongeautoriseerde toegang tot slachtoffersystemen tot stand brengt zonder medeweten van de gebruiker.
Nep-installatieprogramma bundelt remote access trojan
Het kwaadaardige MSI-installatieprogramma bevat een specifiek bestand en plaatst een uitvoerbaar bestand genaamd unattended-updater.exe met de oorspronkelijke bestandsnaam. Tijdens runtime creëert het uitvoerbare bestand een mappenstructuur onder de Program Files-directory van het systeem.
Het installatieprogramma schrijft meerdere configuratiebestanden, waaronder unattended.json, logger.json, mandatory.json en pc.json.
De unattended.json-configuratie maakt externe toegangsfunctionaliteit mogelijk zonder gebruikersinteractie te vereisen.
Netwerkanalyse onthult dat de malware verbinding maakt met GoTo Resolve-infrastructuur. Het uitvoerbare bestand verzendt systeemgebeurteninformatie in JSON-formaat naar externe servers met behulp van hardgecodeerde API-inloggegevens.
Beveiligingsonderzoekers classificeren het gedrag als kritiek. Externe beheertools bieden dreigingsactoren mogelijkheden voor langdurige persistentie, externe opdrachtuitvoering en het oogsten van inloggegevens zodra ze op slachtoffersystemen zijn geïnstalleerd.
De phishing-e-mails handhaven een verzorgde, professionele toon met correcte grammatica en geen spelfouten.
De frauduleuze aankondiging creëert een bijna identieke replica van de officiële Eternl Desktop-release, compleet met berichten over hardware wallet-compatibiliteit, lokaal sleutelbeheer en geavanceerde delegatiecontroles.
Campagne richt zich op Cardano-gebruikers
De aanvallers bewapenen cryptocurrency governance-verhalen en ecosysteemspecifieke verwijzingen om verborgen toegangstools te verspreiden.
Verwijzingen naar NIGHT- en ATMA-tokenbeloningen via het Diffusion Staking Basket-programma verlenen valse legitimiteit aan de kwaadaardige campagne.
Cardano-gebruikers die willen deelnemen aan staking- of governance-functies lopen een hoog risico van social engineering-tactieken die legitieme ecosysteem-ontwikkelingen nabootsen.
Het nieuw geregistreerde domein verspreidt het installatieprogramma zonder officiële verificatie of validatie van digitale handtekeningen.
Gebruikers moeten software-authenticiteit uitsluitend verifiëren via officiële kanalen voordat ze wallet-applicaties downloaden.
Anurag's malware-analyse onthulde de poging tot misbruik van de toeleveringsketen die gericht was op het vestigen van persistente ongeautoriseerde toegang.
De GoTo Resolve-tool biedt aanvallers externe besturingsmogelijkheden die de wallet-beveiliging en toegang tot privésleutels in gevaar brengen.
Gebruikers moeten het downloaden van wallet-applicaties van niet-geverifieerde bronnen of nieuw geregistreerde domeinen vermijden, ongeacht de verzorgdheid van e-mails of professionele uitstraling.
Bron: https://crypto.news/cardano-wallets-under-threat-phishing-campaign/
