一项钓鱼活动正通过虚假电子邮件针对Cardano用户,推广欺诈性的Eternl Desktop应用程序下载。
该攻击利用精心制作的专业信息,引用通过Diffusion Staking Basket计划获得的NIGHT和ATMA代币奖励来建立可信度。
威胁猎人Anurag发现了一个通过新注册域名download.eternldesktop.network分发的恶意安装程序。
这个23.3兆字节的Eternl.msi文件包含一个隐藏的LogMeIn Resolve远程管理工具,可在用户不知情的情况下建立对受害者系统的未授权访问。
虚假安装程序捆绑远程访问木马
恶意MSI安装程序携带特定内容,并释放一个名为unattended-updater.exe的可执行文件,保留原始文件名。在运行期间,该可执行文件在系统的Program Files目录下创建文件夹结构。
安装程序会写入多个配置文件,包括unattended.json、logger.json、mandatory.json和pc.json。
unattended.json配置启用远程访问功能,无需用户交互。
网络分析显示,该恶意软件连接到GoTo Resolve基础设施。可执行文件使用硬编码的API凭证以JSON格式向远程服务器传输系统事件信息。
安全研究人员将此行为归类为严重威胁。远程管理工具一旦安装在受害者系统上,可为威胁行为者提供长期持久性、远程命令执行和凭证窃取等能力。
钓鱼电子邮件保持精致、专业的语气,语法正确且无拼写错误。
这个欺诈性公告创建了与官方Eternl Desktop发布几乎完全相同的副本,包含关于硬件钱包兼容性、本地密钥管理和高级委托控制的信息。
活动针对Cardano用户
攻击者利用加密货币治理叙事和生态系统特定引用来分发隐蔽访问工具。
通过Diffusion Staking Basket计划引用NIGHT和ATMA代币奖励,为这个恶意活动提供虚假的合法性。
寻求参与质押或治理功能的Cardano用户面临来自社会工程策略的高风险,这些策略模仿合法的生态系统发展。
新注册的域名在没有官方验证或数字签名验证的情况下分发安装程序。
用户在下载钱包应用程序之前,应仅通过官方渠道验证软件的真实性。
Anurag的恶意软件分析揭示了旨在建立持久性未授权访问的供应链滥用企图。
GoTo Resolve工具为攻击者提供远程控制能力,危及钱包安全和私钥访问。
无论电子邮件多么精致或看起来多么专业,用户都应避免从未经验证的来源或新注册的域名下载钱包应用程序。
来源: https://crypto.news/cardano-wallets-under-threat-phishing-campaign/
