Cardano 사용자 대상 피싱 캠페인
최근 Cardano 사용자들을 겨냥한 피싱 캠페인이 발생하고 있습니다. 이 캠페인은 사기성 Eternl Desktop 애플리케이션 다운로드를 홍보하는 가짜 이메일을 통해 진행되고 있습니다. 공격자들은 Diffusion Staking Basket 프로그램을 언급하며 NIGHT 및 ATMA 토큰 보상을 제안하는 전문적으로 작성된 메시지를 사용하여 신뢰성을 높이고 있습니다.
보안 전문가 Anurag는 새로 등록된 도메인 download.eternldesktop.network를 통해 배포된 악성 설치 프로그램을 확인했습니다.
이 23.3 메가바이트 크기의 Eternl.msi 파일에는 사용자의 인식 없이 피해 시스템에 무단 접근을 설정하는 숨겨진 LogMeIn Resolve 원격 관리 도구가 포함되어 있습니다.
악성 MSI 설치 프로그램의 작동 방식
악성 MSI 설치 프로그램은 특정 파일을 포함하고 있으며, 원래 파일 이름을 가진 unattended-updater.exe라는 실행 파일을 생성합니다. 이 실행 파일은 시스템의 Program Files 디렉토리 아래에 폴더 구조를 생성하며, unattended.json, logger.json, mandatory.json, pc.json 등 여러 구성 파일을 작성합니다. 특히, unattended.json 구성은 사용자 상호작용 없이 원격 접근 기능을 활성화합니다.
네트워크 분석 결과, 이 악성코드는 GoTo Resolve 인프라에 연결됩니다. 이 실행 파일은 하드코딩된 API 자격 증명을 사용하여 원격 서버에 시스템 이벤트 정보를 JSON 형식으로 전송합니다. 보안 연구자들은 이러한 행동을 심각한 위협으로 분류하고 있습니다.
피싱 이메일의 특징
원격 관리 도구는 공격자에게 피해 시스템에 설치된 후 장기적인 지속성, 원격 명령 실행 및 자격 증명 수집 기능을 제공합니다. 피싱 이메일은 세련되고 전문적인 어조를 유지하며 문법이 정확하고 철자 오류가 없습니다. 사기성 발표는 하드웨어 지갑 호환성, 로컬 키 관리 및 고급 위임 제어에 대한 메시지를 포함하여 공식 Eternl Desktop 릴리스를 거의 동일하게 복제합니다.
공격자들은 암호화폐 거버넌스 내러티브와 생태계 특정 참조를 무기화하여 은밀한 접근 도구를 배포하고 있습니다. Diffusion Staking Basket 프로그램을 통한 NIGHT 및 ATMA 토큰 보상에 대한 언급은 악성 캠페인에 잘못된 정당성을 부여합니다.
사용자 경고 및 예방 조치
스테이킹 또는 거버넌스 기능에 참여하고자 하는 Cardano 사용자들은 합법적인 생태계 개발을 모방하는 사회 공학 전술로 인해 높은 위험에 직면해 있습니다. 새로 등록된 도메인은 공식 검증이나 디지털 서명 검증 없이 설치 프로그램을 배포하고 있습니다. 따라서 사용자는 지갑 애플리케이션을 다운로드하기 전에 반드시 공식 채널을 통해 소프트웨어의 진위를 확인해야 합니다.
Anurag의 악성코드 분석 결과는 지속적인 무단 접근을 설정하기 위한 공급망 남용 시도를 밝혀냈습니다.
GoTo Resolve 도구는 공격자에게 지갑 보안 및 개인 키 접근을 위협하는 원격 제어 기능을 제공합니다. 사용자는 이메일의 세련됨이나 전문적인 외관과 관계없이 검증되지 않은 출처나 새로 등록된 도메인에서 지갑 애플리케이션을 다운로드하는 것을 피해야 합니다.
