Chiến dịch lừa đảo nhắm vào người dùng Cardano
Một chiến dịch lừa đảo đang nhắm vào người dùng Cardano thông qua các email giả mạo, quảng bá việc tải xuống ứng dụng Eternl Desktop giả. Cuộc tấn công này lợi dụng các thông điệp được soạn thảo chuyên nghiệp, đề cập đến phần thưởng token NIGHT và ATMA thông qua chương trình Diffusion Staking Basket để tạo dựng độ tin cậy.
Thông tin về phần mềm độc hại
Nhà phân tích mối đe dọa Anurag đã xác định một trình cài đặt độc hại được phân phối qua một miền mới được đăng ký, download.eternldesktop.network. Tệp Eternl.msi có kích thước 23,3 megabyte chứa một công cụ quản lý từ xa LogMeIn Resolve ẩn, cho phép truy cập trái phép vào hệ thống của nạn nhân mà không cần sự đồng ý của người dùng.
Trình cài đặt MSI độc hại đi kèm với một tệp thực thi có tên unattended-updater.exe. Trong quá trình chạy, tệp thực thi này tạo ra một cấu trúc thư mục dưới thư mục Program Files của hệ thống. Trình cài đặt ghi lại nhiều tệp cấu hình, bao gồm unattended.json, logger.json, mandatory.json và pc.json. Cấu hình unattended.json cho phép chức năng truy cập từ xa mà không cần tương tác của người dùng.
Phân tích và rủi ro
Phân tích mạng cho thấy phần mềm độc hại kết nối với cơ sở hạ tầng GoTo Resolve. Tệp thực thi này truyền tải thông tin sự kiện hệ thống dưới định dạng JSON đến các máy chủ từ xa bằng cách sử dụng thông tin xác thực API được mã hóa cứng. Các nhà nghiên cứu bảo mật đã phân loại hành vi này là nghiêm trọng.
Các công cụ quản lý từ xa cung cấp cho các tác nhân mối đe dọa khả năng duy trì lâu dài, thực thi lệnh từ xa và thu thập thông tin xác thực một khi đã được cài đặt trên hệ thống của nạn nhân. Các email lừa đảo duy trì một tông điệu tinh tế, chuyên nghiệp với ngữ pháp đúng và không có lỗi chính tả.
Thông báo giả mạo tạo ra một bản sao gần như giống hệt với phiên bản chính thức của Eternl Desktop, hoàn chỉnh với thông điệp về khả năng tương thích với ví phần cứng, quản lý khóa cục bộ và các điều khiển ủy quyền nâng cao.
Khuyến cáo cho người dùng
Người dùng Cardano muốn tham gia vào các tính năng staking hoặc quản trị phải đối mặt với rủi ro cao từ các chiến thuật kỹ thuật xã hội mô phỏng các phát triển hợp pháp trong hệ sinh thái. Miền mới được đăng ký phân phối trình cài đặt mà không có xác minh chính thức hoặc xác thực chữ ký số.
Người dùng nên xác minh tính xác thực của phần mềm chỉ thông qua các kênh chính thức trước khi tải xuống các ứng dụng ví. Phân tích phần mềm độc hại của Anurag đã tiết lộ nỗ lực lạm dụng chuỗi cung ứng nhằm thiết lập quyền truy cập trái phép lâu dài.
Công cụ GoTo Resolve cung cấp cho kẻ tấn công khả năng điều khiển từ xa, làm tổn hại đến bảo mật ví và quyền truy cập khóa riêng. Người dùng nên tránh tải xuống các ứng dụng ví từ các nguồn không được xác minh hoặc các miền mới được đăng ký, bất kể email có vẻ bóng bẩy hay chuyên nghiệp đến đâu.
