ایمیل‌های جعلی کاربران Cardano را با بدافزار دسترسی از راه دور هدف قرار می‌دهند

یک کمپین فیشینگ از طریق ایمیل‌های جعلی که دانلود برنامه تقلبی Eternl Desktop را تبلیغ می‌کنند، کاربران کاردانو را هدف قرار داده است.

این حمله از پیام‌های حرفه‌ای ساخته شده با اشاره به پاداش توکن‌های NIGHT و ATMA از طریق برنامه Diffusion Staking Basket برای ایجاد اعتبار استفاده می‌کند.

شکارچی تهدید آنوراگ یک نصب‌کننده مخرب را شناسایی کرد که از طریق دامنه تازه ثبت شده download.eternldesktop.network توزیع می‌شود.

فایل 23.3 مگابایتی Eternl.msi حاوی ابزار مدیریت از راه دور پنهان LogMeIn Resolve است که دسترسی غیرمجاز به سیستم‌های قربانی را بدون آگاهی کاربر برقرار می‌کند.

نصب‌کننده جعلی حاوی تروجان دسترسی از راه دور

نصب‌کننده مخرب MSI یک فایل اجرایی خاص با نام unattended-updater.exe را با نام فایل اصلی رها می‌کند. در طول اجرا، این فایل اجرایی یک ساختار پوشه در دایرکتوری Program Files سیستم ایجاد می‌کند.

نصب‌کننده چندین فایل پیکربندی از جمله unattended.json، logger.json، mandatory.json و pc.json را می‌نویسد.

پیکربندی unattended.json قابلیت دسترسی از راه دور را بدون نیاز به تعامل کاربر فعال می‌کند.

تحلیل شبکه نشان می‌دهد که بدافزار به زیرساخت GoTo Resolve متصل می‌شود. فایل اجرایی اطلاعات رویداد سیستم را به فرمت JSON با استفاده از اعتبارنامه‌های API کدگذاری شده به سرورهای از راه دور ارسال می‌کند.

محققان امنیتی این رفتار را بحرانی طبقه‌بندی می‌کنند. ابزارهای مدیریت از راه دور پس از نصب بر روی سیستم‌های قربانی، قابلیت‌هایی برای ماندگاری بلندمدت، اجرای دستورات از راه دور و جمع‌آوری اعتبارنامه‌ها را در اختیار عوامل تهدید قرار می‌دهند.

ایمیل‌های فیشینگ لحنی صیقلی و حرفه‌ای با دستور زبان صحیح و بدون خطای املایی حفظ می‌کنند.

اعلامیه تقلبی یک نسخه تقریباً یکسان از انتشار رسمی Eternl Desktop ایجاد می‌کند که شامل پیام‌هایی درباره سازگاری کیف پول سخت‌افزاری، مدیریت کلید محلی و کنترل‌های تفویض پیشرفته است.

کمپین کاربران کاردانو را هدف قرار می‌دهد

مهاجمان از روایت‌های حاکمیت ارزهای دیجیتال و مراجع خاص اکوسیستم برای توزیع ابزارهای دسترسی مخفی استفاده می‌کنند.

اشاره به پاداش توکن‌های NIGHT و ATMA از طریق برنامه Diffusion Staking Basket مشروعیت کاذبی به کمپین مخرب می‌بخشد.

کاربران کاردانو که به دنبال مشارکت در ویژگی‌های استیکینگ یا حاکمیت هستند، با ریسک بالایی از تاکتیک‌های مهندسی اجتماعی که توسعه‌های مشروع اکوسیستم را تقلید می‌کنند، مواجه هستند.

دامنه تازه ثبت شده نصب‌کننده را بدون تاییدیه رسمی یا اعتبارسنجی امضای دیجیتال توزیع می‌کند.

کاربران باید اصالت نرم‌افزار را منحصراً از طریق کانال‌های رسمی قبل از دانلود برنامه‌های کیف پول تأیید کنند.

تحلیل بدافزار آنوراگ تلاش برای سوءاستفاده از زنجیره تأمین با هدف ایجاد دسترسی غیرمجاز مداوم را آشکار کرد.

ابزار GoTo Resolve قابلیت‌های کنترل از راه دور را در اختیار مهاجمان قرار می‌دهد که امنیت کیف پول و دسترسی به کلید خصوصی را به خطر می‌اندازد.

کاربران باید از دانلود برنامه‌های کیف پول از منابع تایید نشده یا دامنه‌های تازه ثبت شده صرف‌نظر از ظاهر صیقلی یا حرفه‌ای ایمیل خودداری کنند.