Phishing-kampagne mod Cardano-brugere
En phishing-kampagne retter sig mod Cardano-brugere gennem falske e-mails, der promoverer en bedragerisk download af Eternl Desktop-applikationen. Angrebet udnytter professionelt udformede beskeder, der refererer til NIGHT- og ATMA-token belønninger gennem Diffusion Staking Basket-programmet for at etablere troværdighed.
Identifikation af ondsindet installer
Trusselsjægeren Anurag har identificeret en ondsindet installer, der distribueres gennem et nyregistreret domæne, download.eternldesktop.network. Den 23,3 megabyte store Eternl.msi-fil indeholder et skjult LogMeIn Resolve fjernstyringsværktøj, der giver uautoriseret adgang til offerets systemer uden brugerens viden.
Installation og konfiguration
Den ondsindede MSI-installation bærer et specifikt navn og dropper en eksekverbar fil kaldet unattended-updater.exe med det oprindelige filnavn. Under kørsel opretter den eksekverbare fil en mappestruktur under systemets Program Files-katalog. Installeren skriver flere konfigurationsfiler, herunder unattended.json, logger.json, mandatory.json og pc.json. Konfigurationen i unattended.json muliggør fjernadgangsfunktionalitet uden at kræve brugerinteraktion.
Malware-adfærd og konsekvenser
Netværksanalyse afslører, at malware forbinder til GoTo Resolve-infrastrukturen. Den eksekverbare fil transmitterer systembegivenhedsinformation i JSON-format til fjerntjente servere ved hjælp af hardkodede API-legitimationsoplysninger. Sikkerhedsforskere klassificerer denne adfærd som kritisk. Fjernstyringsværktøjer giver trusselaktører mulighed for langvarig vedholdenhed, fjernkommandoeksekvering og indsamling af legitimationsoplysninger, når de først er installeret på offerets systemer.
Falsk legitimitet og social engineering
Phishing-e-mails opretholder en poleret, professionel tone med korrekt grammatik og ingen stavefejl. Den bedrageriske meddelelse skaber en næsten identisk kopi af den officielle Eternl Desktop-udgivelse, komplet med beskeder om hardware wallet-kompatibilitet, lokal nøglehåndtering og avancerede delegeringskontroller. Angriberne udnytter kryptovaluta-governance-narrativer og økosystem-specifikke referencer til at distribuere skjulte adgangsværktøjer.
Risiko og anbefalinger
Cardano-brugere, der ønsker at deltage i staking eller governance-funktioner, står over for høj risiko fra social engineering-taktikker, der efterligner legitime økosystemudviklinger. Det nyregistrerede domæne distribuerer installeren uden officiel verifikation eller digital signaturvalidering. Brugere bør verificere softwareautenticitet udelukkende gennem officielle kanaler, før de downloader wallet-applikationer.
Konklusion
Anurags malware-analyse afslørede forsøg på misbrug af forsyningskæden, der sigter mod at etablere vedholdende uautoriseret adgang. GoTo Resolve-værktøjet giver angriberne fjernkontrolmuligheder, der kompromitterer wallet-sikkerhed og adgang til private nøgler. Brugere bør undgå at downloade wallet-applikationer fra uverificerede kilder eller nyregistrerede domæner, uanset e-mailens polering eller professionelle udseende.
