Ví Cardano đang gặp nguy hiểm? Chiến dịch lừa đảo phishing đáng ngờ xuất hiện

Một chiến dịch lừa đảo đang nhắm vào người dùng Cardano thông qua các email giả mạo quảng bá tải xuống ứng dụng Eternl Desktop giả mạo.

Cuộc tấn công lợi dụng các tin nhắn được thiết kế chuyên nghiệp, đề cập đến phần thưởng token NIGHT và ATMA thông qua chương trình Diffusion Staking Basket để tạo độ tin cậy.

Nhà săn mối đe dọa Anurag đã phát hiện ra một trình cài đặt độc hại phân phối qua một tên miền mới đăng ký, download.eternldesktop.network.

Tệp Eternl.msi có dung lượng 23.3 megabyte chứa một công cụ quản lý từ xa LogMeIn Resolve ẩn, thiết lập quyền truy cập trái phép vào hệ thống nạn nhân mà không có sự nhận thức của người dùng.

Trình cài đặt giả mạo đi kèm với một phần mềm truy cập từ xa Trojan

Trình cài đặt MSI độc hại này chứa một tệp thực thi có tên unattended-updater.exe với tên gốc. Trong quá trình chạy, tệp thực thi tạo ra một cấu trúc thư mục trong thư mục Program Files của hệ thống.

Trình cài đặt ghi nhiều tệp cấu hình bao gồm unattended.json, logger.json, mandatory.json, và pc.json.

Cấu hình trong unattended.json cho phép chức năng truy cập từ xa mà không cần sự tương tác của người dùng.

Phân tích mạng cho thấy phần mềm độc hại kết nối với hạ tầng GoTo Resolve. Tệp thực thi truyền thông tin sự kiện hệ thống dưới định dạng JSON đến các máy chủ từ xa bằng cách sử dụng thông tin xác thực API cố định.

Các nhà nghiên cứu an ninh xếp hành vi này vào loại nguy hiểm nghiêm trọng. Các công cụ quản lý từ xa cung cấp cho các tác nhân đe dọa khả năng duy trì lâu dài, thực thi lệnh từ xa, và thu thập thông tin đăng nhập sau khi cài đặt trên hệ thống nạn nhân.

Các email lừa đảo duy trì phong cách chuyên nghiệp, lịch sự, đúng ngữ pháp và không có lỗi chính tả.

Thông báo giả mạo tạo ra một bản sao gần như giống hệt bản phát hành chính thức của Eternl Desktop, bao gồm các thông điệp về khả năng tương thích ví phần cứng, quản lý khóa cục bộ và các điều khiển ủy quyền nâng cao.

Chiến dịch nhắm vào người dùng Cardano

Những kẻ tấn công lợi dụng các câu chuyện về quản trị tiền điện tử và các tham chiếu đặc thù của hệ sinh thái để phân phối các công cụ truy cập bí mật.

Các tham chiếu đến phần thưởng token NIGHT và ATMA qua chương trình Diffusion Staking Basket tạo ra vẻ hợp pháp giả mạo cho chiến dịch độc hại này.

Người dùng Cardano muốn tham gia staking hoặc các tính năng quản trị phải đối mặt với rủi ro cao từ các chiến thuật xã hội giả mạo các phát triển hợp pháp của hệ sinh thái.

Tên miền mới đăng ký phân phối trình cài đặt mà không qua xác minh chính thức hoặc xác thực chữ ký số.

Người dùng nên xác minh tính xác thực của phần mềm chỉ qua các kênh chính thức trước khi tải xuống ứng dụng ví.

Phân tích phần mềm độc hại của Anurag cho thấy nỗ lực lạm dụng chuỗi cung ứng nhằm thiết lập quyền truy cập trái phép lâu dài.

Công cụ GoTo Resolve cung cấp cho kẻ tấn công khả năng điều khiển từ xa, làm suy yếu an ninh ví và truy cập khóa riêng tư.

Người dùng nên tránh tải xuống ứng dụng ví từ các nguồn không xác thực hoặc tên miền mới đăng ký, bất kể email có chuyên nghiệp hay lịch sự đến đâu.