一場網路釣魚活動正透過假冒電子郵件針對 Cardano 用戶,推廣詐騙性的 Eternl Desktop 應用程式下載。
此攻擊利用專業製作的訊息,引用透過 Diffusion Staking Basket 計劃提供的 NIGHT 和 ATMA 代幣獎勵來建立可信度。
威脅獵人 Anurag 識別出一個透過新註冊網域 download.eternldesktop.network 散佈的惡意安裝程式。
這個 23.3 MB 的 Eternl.msi 檔案包含一個隱藏的 LogMeIn Resolve 遠端管理工具,在使用者毫無察覺的情況下建立對受害系統的未授權存取。
假冒安裝程式捆綁遠端存取木馬
這個惡意的 MSI 安裝程式攜帶特定內容,並釋放一個名為 unattended-updater.exe 的可執行檔案,保留原始檔案名稱。在執行期間,該可執行檔案會在系統的 Program Files 目錄下建立資料夾結構。
該安裝程式會寫入多個設定檔,包括 unattended.json、logger.json、mandatory.json 和 pc.json。
unattended.json 設定檔啟用了遠端存取功能,無需使用者互動。
網路分析顯示,該惡意軟體連接到 GoTo Resolve 基礎設施。該可執行檔案使用硬編碼的 API 憑證,以 JSON 格式將系統事件資訊傳輸到遠端伺服器。
資安研究人員將此行為歸類為嚴重等級。遠端管理工具一旦安裝在受害系統上,便為威脅行為者提供長期持續性、遠端指令執行和憑證竊取的能力。
這些網路釣魚電子郵件維持精緻專業的語氣,語法正確且沒有拼寫錯誤。
這個詐騙公告創建了一個幾乎完全相同的官方 Eternl Desktop 發布版本複製品,包含關於硬體錢包相容性、本地金鑰管理和進階委託控制的訊息。
攻擊活動針對 Cardano 用戶
攻擊者武器化加密貨幣治理敘事和生態系統特定引用,以散佈隱密存取工具。
透過 Diffusion Staking Basket 計劃提及 NIGHT 和 ATMA 代幣獎勵,為這個惡意活動提供虛假的合法性。
尋求參與質押或治理功能的 Cardano 用戶,面臨模仿合法生態系統發展的社交工程策略的高風險。
這個新註冊的網域在沒有官方驗證或數位簽章驗證的情況下散佈安裝程式。
用戶在下載錢包應用程式之前,應僅透過官方管道驗證軟體真實性。
Anurag 的惡意軟體分析揭露了這次供應鏈濫用企圖,旨在建立持續性的未授權存取。
GoTo Resolve 工具為攻擊者提供遠端控制能力,損害錢包安全性和私鑰存取。
用戶應避免從未驗證來源或新註冊網域下載錢包應用程式,無論電子郵件多麼精緻或外觀多麼專業。
來源: https://crypto.news/cardano-wallets-under-threat-phishing-campaign/
