フィッシングキャンペーンが、偽のEternl Desktopアプリケーションのダウンロードを宣伝する偽のメールを通じて、Cardanoユーザーを標的にしています。
この攻撃は、Diffusion Staking Basketプログラムを通じたNIGHTおよびATMAトークン報酬に言及した、プロフェッショナルに作成されたメッセージを利用して信頼性を確立しています。
脅威ハンターのAnuragは、新規登録されたドメインdownload.eternldesktop.networkを通じて配布された悪意のあるインストーラーを特定しました。
23.3メガバイトのEternl.msiファイルには、ユーザーが気づかないうちに被害者のシステムへの不正アクセスを確立する隠されたLogMeIn Resolveリモート管理ツールが含まれています。
偽のインストーラーにリモートアクセストロイの木馬がバンドル
悪意のあるMSIインストーラーは特定のものを運び、元のファイル名でunattended-updater.exeという実行可能ファイルをドロップします。実行時、この実行可能ファイルはシステムのProgram Filesディレクトリの下にフォルダ構造を作成します。
インストーラーは、unattended.json、logger.json、mandatory.json、pc.jsonを含む複数の設定ファイルを書き込みます。
unattended.json設定は、ユーザーの操作を必要とせずにリモートアクセス機能を有効にします。
ネットワーク分析により、マルウェアがGoTo Resolveインフラストラクチャに接続することが明らかになりました。実行可能ファイルは、ハードコードされたAPI認証情報を使用して、JSON形式でシステムイベント情報をリモートサーバーに送信します。
セキュリティー研究者は、この動作を重大と分類しています。リモート管理ツールは、被害者のシステムにインストールされると、脅威アクターに長期的な持続性、リモートコマンド実行、および認証情報の収集の能力を提供します。
フィッシングメールは、適切な文法でスペルミスのない、洗練されたプロフェッショナルなトーンを維持しています。
詐欺的な発表は、ハードウェアウォレットの互換性、ローカルキー管理、高度な委任コントロールに関するメッセージを完備した、公式のEternl Desktopリリースのほぼ同一のレプリカを作成しています。
キャンペーンがCardanoユーザーを標的に
攻撃者は、暗号資産ガバナンスの物語とエコシステム固有の参照を武器化して、秘密のアクセスツールを配布しています。
Diffusion Staking BasketプログラムによるNIGHTおよびATMAトークン報酬への言及は、悪意のあるキャンペーンに虚偽の正当性を与えています。
ステーキングやガバナンス機能への参加を求めるCardanoユーザーは、正当なエコシステムの発展を模倣するソーシャルエンジニアリング戦術から高いリスクに直面しています。
新規登録されたドメインは、公式の検証やデジタル署名検証なしでインストーラーを配布しています。
ユーザーは、ウォレットアプリケーションをダウンロードする前に、公式チャネルのみを通じてソフトウェアの真正性を確認する必要があります。
Anuragのマルウェア分析により、持続的な不正アクセスの確立を目的としたサプライチェーン悪用の試みが明らかになりました。
GoTo Resolveツールは、攻撃者にウォレットのセキュリティーと秘密鍵のアクセスを侵害するリモートコントロール機能を提供します。
ユーザーは、メールの洗練度やプロフェッショナルな外観に関係なく、未確認のソースや新規登録されたドメインからウォレットアプリケーションをダウンロードすることを避けるべきです。
出典: https://crypto.news/cardano-wallets-under-threat-phishing-campaign/
