Kampanye Phishing Menargetkan Pengguna Cardano
Sebuah kampanye phishing baru-baru ini menargetkan pengguna Cardano melalui email palsu yang mempromosikan unduhan aplikasi Eternl Desktop yang menipu. Serangan ini memanfaatkan pesan yang dirancang secara profesional, merujuk pada hadiah token NIGHT dan ATMA melalui program Diffusion Staking Basket untuk membangun kredibilitas.
Identifikasi Penginstal Berbahaya
Pemburu ancaman Anurag telah mengidentifikasi penginstal berbahaya yang didistribusikan melalui domain baru yang terdaftar, yaitu download.eternldesktop.network.
File Eternl.msi berukuran 23,3 megabyte ini mengandung alat manajemen jarak jauh LogMeIn Resolve yang tersembunyi, memberikan akses tidak sah ke sistem korban tanpa sepengetahuan pengguna. Penginstal MSI berbahaya ini memiliki spesifikasi tertentu dan menjatuhkan file eksekusi bernama unattended-updater.exe dengan nama file asli.
Selama proses eksekusi, file ini membuat struktur folder di bawah direktori Program Files sistem. Penginstal ini juga menulis beberapa file konfigurasi, termasuk unattended.json, logger.json, mandatory.json, dan pc.json. Konfigurasi unattended.json memungkinkan fungsi akses jarak jauh tanpa memerlukan interaksi pengguna.
Analisis Jaringan dan Perilaku Malware
Analisis jaringan mengungkapkan bahwa malware ini terhubung ke infrastruktur GoTo Resolve. File eksekusi ini mengirimkan informasi peristiwa sistem dalam format JSON ke server jarak jauh menggunakan kredensial API yang telah dikodekan. Peneliti keamanan mengklasifikasikan perilaku ini sebagai kritis.
Alat manajemen jarak jauh memberikan aktor ancaman kemampuan untuk mempertahankan akses jangka panjang, mengeksekusi perintah dari jarak jauh, dan mengumpulkan kredensial setelah terinstal di sistem korban.
Strategi Penyerang dan Risiko bagi Pengguna
Email phishing ini mempertahankan nada yang halus dan profesional, dengan tata bahasa yang benar dan tanpa kesalahan ejaan. Pengumuman yang menipu ini menciptakan replika yang hampir identik dengan rilis resmi Eternl Desktop, lengkap dengan pesan tentang kompatibilitas dompet perangkat keras, manajemen kunci lokal, dan kontrol delegasi yang canggih.
Para penyerang memanfaatkan narasi tata kelola cryptocurrency dan referensi spesifik ekosistem untuk mendistribusikan alat akses tersembunyi. Referensi kepada hadiah token NIGHT dan ATMA melalui program Diffusion Staking Basket memberikan legitimasi palsu kepada kampanye berbahaya ini.
Pengguna Cardano yang ingin berpartisipasi dalam fitur staking atau tata kelola menghadapi risiko tinggi dari taktik rekayasa sosial yang meniru perkembangan ekosistem yang sah.
Pentingnya Verifikasi Keaslian Perangkat Lunak
Domain yang baru terdaftar ini mendistribusikan penginstal tanpa verifikasi resmi atau validasi tanda tangan digital. Pengguna harus memverifikasi keaslian perangkat lunak hanya melalui saluran resmi sebelum mengunduh aplikasi dompet.
Analisis malware Anurag mengungkapkan upaya penyalahgunaan rantai pasokan yang bertujuan untuk membangun akses tidak sah yang persisten. Alat GoTo Resolve memberikan penyerang kemampuan kontrol jarak jauh yang mengkompromikan keamanan dompet dan akses kunci pribadi.
Oleh karena itu, pengguna harus menghindari mengunduh aplikasi dompet dari sumber yang tidak terverifikasi atau domain yang baru terdaftar, terlepas dari kehalusan email atau penampilan profesionalnya.
