Phishing Campaign Targeting Cardano Users
Isang phishing campaign ang nagta-target sa mga gumagamit ng Cardano sa pamamagitan ng mga pekeng email na nagpo-promote ng isang mapanlinlang na pag-download ng Eternl Desktop application. Ang atake ay gumagamit ng mga propesyonal na inihandang mensahe na tumutukoy sa mga gantimpala ng NIGHT at ATMA token sa pamamagitan ng Diffusion Staking Basket program upang magtatag ng kredibilidad.
Malicious Installer and Remote Access
Natiklop ng threat hunter na si Anurag ang isang mapanlinlang na installer na ipinamamahagi sa pamamagitan ng isang bagong rehistradong domain, download.eternldesktop.network. Ang 23.3 megabyte na Eternl.msi file ay naglalaman ng isang nakatagong LogMeIn Resolve remote management tool na nagtatatag ng hindi awtorisadong access sa mga sistema ng biktima nang walang kaalaman ng gumagamit.
Ang mapanlinlang na MSI installer ay nagdadala ng isang tiyak na executable na tinatawag na unattended-updater.exe gamit ang orihinal na pangalan ng file. Sa panahon ng runtime, ang executable ay lumilikha ng isang folder structure sa ilalim ng Program Files directory ng sistema. Ang installer ay sumusulat ng maraming configuration files kabilang ang unattended.json, logger.json, mandatory.json, at pc.json.
Remote Access Functionality
Ang unattended.json configuration ay nagbibigay-daan sa remote access functionality nang hindi kinakailangan ng interaksyon ng gumagamit. Ipinapakita ng network analysis na ang malware ay kumokonekta sa GoTo Resolve infrastructure. Ang executable ay nagpapadala ng impormasyon ng mga kaganapan sa sistema sa JSON format sa mga remote server gamit ang hardcoded API credentials.
Kinaklasipika ng mga security researchers ang pag-uugali bilang kritikal. Ang mga remote management tools ay nagbibigay sa mga threat actor ng kakayahan para sa pangmatagalang pagpapanatili, remote command execution, at credential harvesting kapag na-install na sa mga sistema ng biktima.
Phishing Email Characteristics
Ang mga phishing email ay nagpapanatili ng isang maayos, propesyonal na tono na may wastong gramatika at walang mga pagkakamali sa spelling. Ang mapanlinlang na anunsyo ay lumilikha ng halos kaparehong replica ng opisyal na paglabas ng Eternl Desktop, kumpleto sa mensahe tungkol sa compatibility ng hardware wallet, lokal na pamamahala ng key, at mga advanced delegation controls.
Ang mga umaatake ay gumagamit ng mga naratibo ng pamamahala ng cryptocurrency at mga ecosystem-specific na sanggunian upang ipamahagi ang mga covert access tools. Ang mga sanggunian sa NIGHT at ATMA token rewards sa pamamagitan ng Diffusion Staking Basket program ay nagbibigay ng maling lehitimidad sa mapanlinlang na kampanya.
Recommendations for Users
Ang mga gumagamit ng Cardano na nagnanais na makilahok sa staking o mga tampok ng pamamahala ay nahaharap sa mataas na panganib mula sa mga social engineering tactics na ginagaya ang mga lehitimong pag-unlad ng ecosystem. Ang bagong rehistradong domain ay namamahagi ng installer nang walang opisyal na beripikasyon o digital signature validation.
Dapat tiyakin ng mga gumagamit ang pagiging tunay ng software sa pamamagitan lamang ng mga opisyal na channel bago mag-download ng mga wallet application. Ipinakita ng pagsusuri sa malware ni Anurag ang pagtatangkang pagsasamantala sa supply-chain na naglalayong magtatag ng patuloy na hindi awtorisadong access.
Ang GoTo Resolve tool ay nagbibigay sa mga umaatake ng mga kakayahan sa remote control na nagbabanta sa seguridad ng wallet at access sa private key. Dapat iwasan ng mga gumagamit ang pag-download ng mga wallet application mula sa mga hindi beripikadong mapagkukunan o bagong rehistradong domain anuman ang polish ng email o propesyonal na hitsura.
