フィッシングキャンペーンの概要
フィッシングキャンペーンがCardanoユーザーを狙い、詐欺的なEternl Desktopアプリケーションのダウンロードを促進する偽のメールが送信されています。この攻撃は、NIGHTおよびATMAトークンの報酬をDiffusion Staking Basketプログラムを通じて言及するプロフェッショナルに作成されたメッセージを利用して信頼性を確立しています。
悪意のあるインストーラーの詳細
脅威ハンターのAnuragは、新たに登録されたドメインdownload.eternldesktop.networkを通じて配布された悪意のあるインストーラーを特定しました。23.3メガバイトのEternl.msiファイルには、ユーザーの認識なしに被害者のシステムに不正アクセスを確立する隠れたLogMeIn Resolveリモート管理ツールが含まれています。
この悪意のあるMSIインストーラーは特定のファイルを持ち、元のファイル名でunattended-updater.exeという実行可能ファイルをドロップします。
実行中、この実行可能ファイルはシステムのProgram Filesディレクトリの下にフォルダ構造を作成します。インストーラーは、unattended.json、logger.json、mandatory.json、pc.jsonなどの複数の設定ファイルを書き込みます。unattended.json設定は、ユーザーの操作を必要とせずにリモートアクセス機能を有効にします。
マルウェアの挙動と影響
ネットワーク分析により、マルウェアがGoTo Resolveインフラストラクチャに接続していることが明らかになりました。この実行可能ファイルは、ハードコーディングされたAPI資格情報を使用して、システムイベント情報をJSON形式でリモートサーバーに送信します。セキュリティ研究者はこの挙動を重大なものとして分類しています。
リモート管理ツールは、被害者のシステムにインストールされると、長期的な持続性、リモートコマンド実行、および資格情報収集の能力を脅威アクターに提供します。
フィッシングメールの特徴と対策
フィッシングメールは、適切な文法とスペルミスのない洗練されたプロフェッショナルなトーンを維持しています。詐欺的な発表は、ハードウェアウォレットの互換性、ローカルキー管理、および高度な委任制御に関するメッセージを含む公式のEternl Desktopリリースのほぼ同一のレプリカを作成します。
攻撃者は、暗号通貨のガバナンスのナラティブやエコシステム特有の言及を武器化して、隠れたアクセスツールを配布します。Diffusion Staking Basketプログラムを通じてのNIGHTおよびATMAトークンの報酬への言及は、悪意のあるキャンペーンに偽の正当性を与えています。
ステーキングやガバナンス機能に参加しようとするCardanoユーザーは、正当なエコシステムの発展を模倣するソーシャルエンジニアリング戦術から高いリスクに直面しています。新たに登録されたドメインは、公式の検証やデジタル署名の検証なしにインストーラーを配布しています。
ユーザーへの警告
ユーザーは、ウォレットアプリケーションをダウンロードする前に、公式のチャネルを通じてソフトウェアの真正性を確認する必要があります。Anuragのマルウェア分析は、持続的な不正アクセスを確立しようとするサプライチェーンの悪用の試みを明らかにしました。GoTo Resolveツールは、攻撃者にウォレットのセキュリティとプライベートキーへのアクセスを危険にさらすリモートコントロール機能を提供します。
ユーザーは、メールの洗練さやプロフェッショナルな外観に関係なく、未確認のソースや新たに登録されたドメインからウォレットアプリケーションをダウンロードすることを避けるべきです。
