近期网络钓鱼活动概述
近期,一场针对Cardano用户的网络钓鱼活动正在进行。攻击者通过伪造的电子邮件推广一个欺诈性的Eternl桌面应用程序下载。此次攻击利用了专业制作的信息,提及NIGHT和ATMA代币奖励,以Diffusion Staking Basket计划为背景,来建立可信度。
恶意软件的传播与功能
威胁猎手Anurag发现了一种恶意安装程序,该程序通过一个新注册的域名download.eternldesktop.network进行传播。这个23.3兆字节的Eternl.msi文件包含一个隐藏的LogMeIn Resolve远程管理工具,能够在用户不知情的情况下,未经授权地访问受害者的系统。
该恶意MSI安装程序携带特定的内容,并生成一个名为unattended-updater.exe的可执行文件,保持原始文件名。在运行时,该可执行文件会在系统的程序文件目录下创建文件夹结构。安装程序写入多个配置文件,包括unattended.json、logger.json、mandatory.json和pc.json。
远程访问与安全威胁
unattended.json配置文件启用远程访问功能,无需用户交互。网络分析显示,恶意软件连接到GoTo Resolve基础设施。该可执行文件使用硬编码的API凭证,将系统事件信息以JSON格式传输到远程服务器。安全研究人员将这种行为归类为严重威胁。
远程管理工具为攻击者提供了长期持久性、远程命令执行和凭证收集的能力,一旦在受害者系统上安装。
钓鱼邮件的伪装与风险
钓鱼邮件保持了精致、专业的语气,语法正确且没有拼写错误。欺诈性公告几乎完美复制了官方Eternl桌面版本,包含有关硬件钱包兼容性、本地密钥管理和高级委托控制的信息。
攻击者利用加密货币治理叙事和特定生态系统的引用来分发隐秘的访问工具。通过Diffusion Staking Basket计划提及的NIGHT和ATMA代币奖励为恶意活动提供了虚假的合法性。
希望参与质押或治理功能的Cardano用户面临着来自模仿合法生态系统发展的社交工程策略的高风险。新注册的域名在没有官方验证或数字签名验证的情况下分发安装程序。
用户防范建议
用户在下载钱包应用程序之前,应通过官方渠道验证软件的真实性。Anurag的恶意软件分析揭示了这一供应链滥用尝试,旨在建立持久的未经授权访问。GoTo Resolve工具为攻击者提供了远程控制能力,危及钱包安全和私钥访问。
用户应避免从未经验证的来源或新注册的域名下载钱包应用程序,无论电子邮件的外观多么精美或专业。
