Một chiến dịch lừa đảo đang nhắm vào người dùng Cardano thông qua email giả mạo quảng cáo tải xuống ứng dụng Eternl Desktop gian lận.
Cuộc tấn công tận dụng các tin nhắn được thiết kế chuyên nghiệp tham chiếu đến phần thưởng token NIGHT và ATMA thông qua chương trình Diffusion Staking Basket để tạo uy tín.
Chuyên gia phát hiện mối đe dọa Anurag đã xác định một trình cài đặt độc hại được phân phối qua một tên miền mới đăng ký, download.eternldesktop.network.
Tệp Eternl.msi dung lượng 23,3 megabyte chứa một công cụ quản lý từ xa LogMeIn Resolve ẩn để thiết lập quyền truy cập trái phép vào hệ thống nạn nhân mà không có sự nhận biết của người dùng.
Trình cài đặt giả mạo chứa trojan truy cập từ xa
Trình cài đặt MSI độc hại mang một tệp cụ thể và thả một tệp thực thi có tên unattended-updater.exe với tên tệp gốc. Trong quá trình chạy, tệp thực thi tạo một cấu trúc thư mục dưới thư mục Program Files của hệ thống.
Trình cài đặt ghi nhiều tệp cấu hình bao gồm unattended.json, logger.json, mandatory.json và pc.json.
Cấu hình unattended.json cho phép chức năng truy cập từ xa mà không yêu cầu tương tác của người dùng.
Phân tích mạng cho thấy phần mềm độc hại kết nối với cơ sở hạ tầng GoTo Resolve. Tệp thực thi truyền thông tin sự kiện hệ thống ở định dạng JSON đến các máy chủ từ xa bằng cách sử dụng thông tin xác thực API được mã hóa cứng.
Các nhà nghiên cứu bảo mật phân loại hành vi này là nghiêm trọng. Các công cụ quản lý từ xa cung cấp cho các tác nhân đe dọa khả năng duy trì lâu dài, thực thi lệnh từ xa và thu thập thông tin xác thực sau khi được cài đặt trên hệ thống nạn nhân.
Các email lừa đảo duy trì giọng điệu chuyên nghiệp, bóng bẩy với ngữ pháp đúng và không có lỗi chính tả.
Thông báo gian lận tạo ra một bản sao gần như giống hệt với bản phát hành Eternl Desktop chính thức, hoàn chỉnh với thông điệp về khả năng tương thích ví cứng, quản lý khóa cục bộ và kiểm soát ủy quyền nâng cao.
Chiến dịch nhắm vào người dùng Cardano
Những kẻ tấn công vũ khí hóa các câu chuyện quản trị tiền mã hoá và tham chiếu cụ thể của hệ sinh thái để phân phối các công cụ truy cập bí mật.
Các tham chiếu đến phần thưởng token NIGHT và ATMA thông qua chương trình Diffusion Staking Basket mang lại tính hợp pháp giả mạo cho chiến dịch độc hại.
Người dùng Cardano tìm cách tham gia vào các tính năng staking hoặc quản trị phải đối mặt với rủi ro cao từ các chiến thuật kỹ thuật xã hội bắt chước các phát triển hợp pháp của hệ sinh thái.
Tên miền mới đăng ký phân phối trình cài đặt mà không có xác minh chính thức hoặc xác thực chữ ký kỹ thuật số.
Người dùng nên xác minh tính xác thực của phần mềm độc quyền thông qua các kênh chính thức trước khi tải xuống ứng dụng ví.
Phân tích phần mềm độc hại của Anurag tiết lộ nỗ lực lạm dụng chuỗi cung ứng nhằm thiết lập quyền truy cập trái phép dai dẳng.
Công cụ GoTo Resolve cung cấp cho những kẻ tấn công khả năng điều khiển từ xa làm tổn hại đến bảo mật ví và quyền truy cập khóa riêng.
Người dùng nên tránh tải xuống ứng dụng ví từ các nguồn không được xác minh hoặc các tên miền mới đăng ký bất kể email được trau chuốt hay vẻ ngoài chuyên nghiệp.
Nguồn: https://crypto.news/cardano-wallets-under-threat-phishing-campaign/
