แคมเปญฟิชชิ่งที่มุ่งเป้าไปที่ผู้ใช้ Cardano
แคมเปญฟิชชิ่งกำลังมุ่งเป้าไปที่ผู้ใช้ Cardano ผ่านอีเมลปลอมที่ส่งเสริมการดาวน์โหลดแอปพลิเคชัน Eternl Desktop ที่หลอกลวง การโจมตีนี้ใช้ข้อความที่สร้างขึ้นอย่างมืออาชีพซึ่งอ้างอิงถึงรางวัลโทเค็น NIGHT และ ATMA ผ่านโปรแกรม Diffusion Staking Basket เพื่อสร้างความน่าเชื่อถือ
การติดตั้งที่เป็นอันตราย
นักล่าข่าวภัย Anurag ได้ระบุโปรแกรมติดตั้งที่เป็นอันตรายซึ่งถูกแจกจ่ายผ่านโดเมนที่ลงทะเบียนใหม่ download.eternldesktop.network ไฟล์ Eternl.msi ขนาด 23.3 เมกะไบต์มีเครื่องมือจัดการระยะไกล LogMeIn Resolve ที่ซ่อนอยู่ ซึ่งสร้างการเข้าถึงที่ไม่ได้รับอนุญาตไปยังระบบของเหยื่อโดยที่ผู้ใช้ไม่รู้ตัว
การทำงานของโปรแกรมติดตั้ง
โปรแกรมติดตั้ง MSI ที่เป็นอันตรายนี้มีการตั้งค่าเฉพาะและปล่อยไฟล์ที่เรียกว่า unattended-updater.exe ด้วยชื่อไฟล์เดิม ในระหว่างการทำงาน ไฟล์ที่สามารถทำงานได้จะสร้างโครงสร้างโฟลเดอร์ภายใต้ไดเรกทอรี Program Files ของระบบ โปรแกรมติดตั้งจะเขียนไฟล์การกำหนดค่าหลายไฟล์ รวมถึง unattended.json, logger.json, mandatory.json และ pc.json
การเข้าถึงระยะไกล
การกำหนดค่า unattended.json เปิดใช้งานฟังก์ชันการเข้าถึงระยะไกลโดยไม่ต้องการการโต้ตอบจากผู้ใช้ การวิเคราะห์เครือข่ายเผยให้เห็นว่าแรนซัมแวร์เชื่อมต่อกับโครงสร้างพื้นฐาน GoTo Resolve ไฟล์ที่สามารถทำงานได้จะส่งข้อมูลเหตุการณ์ของระบบในรูปแบบ JSON ไปยังเซิร์ฟเวอร์ระยะไกลโดยใช้ข้อมูลประจำตัว API ที่ถูกฝังไว้ในโค้ด
ภัยคุกคามที่สำคัญ
นักวิจัยด้านความปลอดภัยจัดพฤติกรรมนี้ว่าเป็นภัยคุกคามที่สำคัญ เครื่องมือจัดการระยะไกลให้ความสามารถแก่ผู้กระทำผิดในการรักษาความต่อเนื่องในระยะยาว การดำเนินการคำสั่งระยะไกล และการเก็บรวบรวมข้อมูลประจำตัวเมื่อถูกติดตั้งในระบบของเหยื่อ
การหลอกลวงทางสังคม
อีเมลฟิชชิ่งยังคงรักษาโทนเสียงที่มีความเป็นมืออาชีพพร้อมด้วยไวยากรณ์ที่ถูกต้องและไม่มีข้อผิดพลาดในการสะกดคำ
การประกาศที่หลอกลวงสร้างสำเนาที่เกือบจะเหมือนกันกับการเปิดตัว Eternl Desktop อย่างเป็นทางการ โดยมีข้อความเกี่ยวกับความเข้ากันได้ของกระเป๋าเงินฮาร์ดแวร์ การจัดการคีย์ในท้องถิ่น และการควบคุมการมอบหมายขั้นสูง
ความเสี่ยงจากการดาวน์โหลด
ผู้โจมตีใช้เรื่องราวการกำกับดูแล cryptocurrency และการอ้างอิงเฉพาะในระบบนิเวศเพื่อแจกจ่ายเครื่องมือเข้าถึงที่ซ่อนอยู่ การอ้างอิงถึงรางวัลโทเค็น NIGHT และ ATMA ผ่านโปรแกรม Diffusion Staking Basket ทำให้แคมเปญที่เป็นอันตรายนี้ดูมีความน่าเชื่อถือสูงขึ้น
คำแนะนำสำหรับผู้ใช้
ผู้ใช้ Cardano ที่ต้องการเข้าร่วมในฟีเจอร์การ staking หรือการกำกับดูแลต้องเผชิญกับความเสี่ยงสูงจากกลยุทธ์การหลอกลวงทางสังคมที่เลียนแบบการพัฒนาระบบนิเวศที่ถูกต้องตามกฎหมาย โดเมนที่ลงทะเบียนใหม่แจกจ่ายโปรแกรมติดตั้งโดยไม่มีการตรวจสอบอย่างเป็นทางการหรือการตรวจสอบลายเซ็นดิจิทัล
ผู้ใช้ควรตรวจสอบความถูกต้องของซอฟต์แวร์ผ่านช่องทางอย่างเป็นทางการก่อนดาวน์โหลดแอปพลิเคชันกระเป๋าเงิน
การวิเคราะห์มัลแวร์ของ Anurag เปิดเผยความพยายามในการละเมิดห่วงโซ่อุปทานที่มุ่งหวังจะสร้างการเข้าถึงที่ไม่ได้รับอนุญาตอย่างต่อเนื่อง เครื่องมือ GoTo Resolve ให้ผู้โจมตีมีความสามารถในการควบคุมระยะไกลซึ่งทำให้ความปลอดภัยของกระเป๋าเงินและการเข้าถึงคีย์ส่วนตัวถูกคุกคาม
ผู้ใช้ควรหลีกเลี่ยงการดาวน์โหลดแอปพลิเคชันกระเป๋าเงินจากแหล่งที่ไม่ผ่านการตรวจสอบหรือโดเมนที่ลงทะเบียนใหม่ ไม่ว่าจะมีความเป็นมืออาชีพหรือดูดีเพียงใดก็ตาม
