محافظ كاردانو تحت التهديد؟ حملة تصيد مشبوهة تظهر

تستهدف حملة تصيد احتيالي مستخدمي كاردانو من خلال رسائل بريد إلكتروني مزيفة تروج لتحميل تطبيق Eternl Desktop الاحتيالي.

تستغل الهجمة رسائل مصممة بشكل احترافي تشير إلى مكافآت رموز NIGHT و ATMA من خلال برنامج سلة الرهان بالتشتت لإضفاء مصداقية.

حدد الباحث عن التهديدات أنوراغ مثبتًا خبيثًا يتم توزيعه عبر نطاق مسجل حديثًا، download.eternldesktop.network.

ملف Eternl.msi الذي تبلغ سعته 23.3 ميجابايت يحتوي على أداة إدارة عن بُعد مخفية LogMeIn Resolve تتيح الوصول غير المصرح به إلى أنظمة الضحايا دون علم المستخدم.

مثبت مزيف يجمع بين أدوات وصول عن بُعد خبيثة

يحمل المثبت الخبيث MSI معينًا ويُسقط ملفًا تنفيذيًا باسم unattended-updater.exe مع الاسم الأصلي. أثناء التشغيل، ينشئ الملف التنفيذي هيكل مجلدات تحت مجلد برامج النظام.

يكتب المثبت عدة ملفات تكوين بما في ذلك unattended.json، logger.json، mandatory.json، و pc.json.

تمكن إعدادات unattended.json وظيفة الوصول عن بُعد دون الحاجة لتفاعل المستخدم.

يكشف تحليل الشبكة أن البرمجية الخبيثة تتصل ببنية تحتية لـ GoTo Resolve. ينقل الملف التنفيذي معلومات أحداث النظام بصيغة JSON إلى خوادم عن بُعد باستخدام بيانات اعتماد API مشفرة.

يصنف خبراء الأمن السلوك على أنه حرج. توفر أدوات الإدارة عن بُعد للمهاجمين قدرات على الاستمرارية طويلة الأمد، وتنفيذ أوامر عن بُعد، وجمع بيانات الاعتماد بمجرد تثبيتها على أنظمة الضحايا.

تحافظ رسائل البريد الإلكتروني الاحتيالية على نغمة مصقولة ومهنية مع قواعد نحوية سليمة وخالية من أخطاء الإملاء.

يخلق الإعلان الاحتيالي نسخة مكررة تقريبًا من إصدار Eternl Desktop الرسمي، متضمنًا رسائل حول توافقه مع المحافظ المادية، وإدارة المفاتيح المحلية، والتحكمات المتقدمة في التفويض.

حملة تستهدف مستخدمي كاردانو

يستخدم المهاجمون روايات حوكمة العملات المشفرة وإشارات خاصة بالنظام البيئي لنشر أدوات وصول مخفية.

تشير الإشارات إلى مكافآت رموز NIGHT و ATMA من خلال برنامج سلة الرهان بالتشتت إلى شرعية زائفة للحملة الخبيثة.

مستخدمو كاردانو الراغبون في المشاركة في ميزات الرهان أو الحوكمة يواجهون مخاطر عالية من تكتيكات الهندسة الاجتماعية التي تحاكي تطورات النظام البيئي الشرعية.

يقوم النطاق المسجل حديثًا بتوزيع المثبت دون تحقق رسمي أو توقيع رقمي.

يجب على المستخدمين التحقق من صحة البرامج فقط من خلال القنوات الرسمية قبل تحميل تطبيقات المحافظ.

كشف تحليل أنوراغ للبرمجيات الخبيثة أن محاولة استغلال سلسلة التوريد كانت تهدف إلى إقامة وصول غير مصرح به مستمر.

يوفر أداة GoTo Resolve للمهاجمين قدرات تحكم عن بُعد تضر بأمان المحافظ والوصول إلى المفاتيح الخاصة.

يجب على المستخدمين تجنب تحميل تطبيقات المحافظ من مصادر غير موثوقة أو نطاقات مسجلة حديثًا، بغض النظر عن مدى احترافية البريد الإلكتروني أو مظهره المهني.