E-mailuri false vizează utilizatori Cardano cu malware de acces la distanță

O campanie de phishing vizează utilizatorii Cardano prin e-mailuri false care promovează o descărcare frauduloasă a aplicației Eternl Desktop.

Atacul folosește mesaje elaborate profesional care fac referire la recompense în tokeni NIGHT și ATMA prin programul Diffusion Staking Basket pentru a stabili credibilitate.

Vânătorul de amenințări Anurag a identificat un program de instalare malițios distribuit printr-un domeniu înregistrat recent, download.eternldesktop.network.

Fișierul Eternl.msi de 23,3 megaocteți conține un instrument ascuns de management la distanță LogMeIn Resolve care stabilește acces neautorizat la sistemele victimelor fără ca utilizatorul să fie conștient.

Programul de instalare fals include troian de acces la distanță

Programul de instalare MSI malițios conține un executabil specific și plasează un fișier executabil numit unattended-updater.exe cu numele original. În timpul rulării, executabilul creează o structură de foldere în directorul Program Files al sistemului.

Programul de instalare scrie multiple fișiere de configurare incluzând unattended.json, logger.json, mandatory.json și pc.json.

Configurația unattended.json activează funcționalitatea de acces la distanță fără a necesita interacțiunea utilizatorului.

Analiza rețelei dezvăluie că malware-ul se conectează la infrastructura GoTo Resolve. Executabilul transmite informații despre evenimentele sistemului în format JSON către servere la distanță folosind credențiale API codificate.

Cercetătorii de securitate clasifică comportamentul ca fiind critic. Instrumentele de management la distanță oferă actorilor de amenințare capacități de persistență pe termen lung, execuție de comenzi la distanță și colectare de credențiale odată instalate pe sistemele victimelor.

E-mailurile de phishing mențin un ton rafinat și profesional cu gramatică corectă și fără erori de ortografie.

Anunțul fraudulos creează o replică aproape identică a lansării oficiale Eternl Desktop, completă cu mesaje despre compatibilitatea cu portofele hardware, gestionarea locală a cheilor și controale avansate de delegare.

Campania vizează utilizatorii Cardano

Atacatorii transformă în arme narativele de guvernanță a criptomonedelor și referințele specifice ecosistemului pentru a distribui instrumente de acces secret.

Referințele la recompense în tokeni NIGHT și ATMA prin programul Diffusion Staking Basket conferă legitimitate falsă campaniei malițioase.

Utilizatorii Cardano care doresc să participe la funcții de staking sau guvernanță se confruntă cu riscuri ridicate din tactici de inginerie socială care imită dezvoltări legitime ale ecosistemului.

Domeniul înregistrat recent distribuie programul de instalare fără verificare oficială sau validare a semnăturii digitale.

Utilizatorii ar trebui să verifice autenticitatea software-ului exclusiv prin canale oficiale înainte de a descărca aplicații de portofel.

Analiza malware-ului realizată de Anurag a dezvăluit tentativa de abuz al lanțului de aprovizionare menită să stabilească acces neautorizat persistent.

Instrumentul GoTo Resolve oferă atacatorilor capacități de control la distanță care compromit securitatea portofelului și accesul la cheia privată.

Utilizatorii ar trebui să evite descărcarea aplicațiilor de portofel din surse neverificate sau domenii înregistrate recent, indiferent de rafinamentul e-mailului sau de aspectul profesional.