مستخدمو Cardano مستهدفون في حملة تصيد جديدة للمحفظة

يتعرض مستخدمو Cardano حاليًا لحملة تصيد احتيالي جديدة تستهدف محافظهم الرقمية. وتشير التقارير إلى أن هذه الحملة المتطورة تنتشر حاليًا بين المستخدمين، مما يشكل مخاطر كبيرة على من يعتزمون تحميل تطبيق Eternl Desktop الذي تم الإعلان عنه حديثًا.

يقوم المخترقون بصياغة رسائل بريد إلكتروني احترافية تدّعي الترويج لحل محفظة شرعي مصمم Cardano والمشاركة في حوكمتها. ويستخدم الإعلان مصطلحات تتعلق بمكافآت المستخدمين، بما في ذلك NIGHT وATMA من خلال برنامج توزيع العملات الرقمية الحالي، وذلك لإضفاء المصداقية وزيادة تفاعل المستخدمين.

يستهدف المتسللون مستخدمي محفظة Cardano

وبحسب التقارير، تمكن المتسللون من إنشاء نسخة طبق الأصل من إعلان Eternl Desktop الرسمي، مع إضافة رسالة حول توافق محفظة الأجهزة، وإدارة المفاتيح المحلية، والتحكم المتقدم في التفويض.

تتميز الرسالة الإلكترونية بأسلوب احترافي أنيق، وقواعد نحوية سليمة، وخالية من الأخطاء الإملائية الظاهرة، مما يجعلها فعالة للغاية في خداع أعضاء مجتمع Cardano . وفي الوقت نفسه، تنشر برمجيات خبيثة على أي نظام تخترقه.

أشارت التقارير إلى أن الحملة تستخدم نطاقًا مسجلاً حديثًا، download(dot)eternldesktop(dot)network، لتوزيع حزمة تثبيت خبيثة دون الحاجة إلى تحقق رسمي أو التحقق من صحة التوقيع الرقمي.

في التحليل الفني المفصل الذي أجراه أنوراغ، وهو باحثdent عن التهديدات ومحلل برامج ضارة، يحتوي ملف Eternl.msi الشرعي على أداة إدارة عن بعد مخفية LogMeIn Resolve مضمنة في حزمة التثبيت الخاصة به.

كشف هذا الاكتشاف عن محاولة استغلال لسلسلة التوريد تهدف إلى تحقيق غير مصرح به إلى أنظمة الضحايا. يقوم برنامج التثبيت الخبيث MSI، الذي يبلغ حجمه 23.3 ميجابايت ورمزه البرمجي 8fa4844e40669c1cb417d7cf923bf3e0، بإسقاط ملف تنفيذي باسم unattended updater.exe، والذي يستخدم اسم الملف الأصلي GoToResolveUnattendedUpdater.exe.

أثناء تحليل وقت التشغيل، يقوم الملف التنفيذي بإنشاء بنية مجلداتdentضمن ملفات البرامج الخاصة بالنظام.

بعد إنشاء مجلد "ملفات البرنامج"، يقوم البرنامج بإنشاء دليل وكتابة عدة ملفات تهيئة، بما في ذلك unattended.json وlogger.json وmandatory.json وpc.json. يُمكّن ملف التهيئة unattended.json من الوصول عن بُعد دون الحاجة إلى تدخل المستخدم.

يحاول الملف التنفيذي الذي تم إسقاطه إنشاء اتصالات بالبنية التحتية المرتبطة بخدمات GoTo Resolve الشرعية، بما في ذلك devices-iot.console.gotoresolve.com و dumpster.console.gotoresolve.com.

تتيح البرامج الضارة للمخترقين الوصول عن بعد

بحسب تحليل الشبكة، يرسل البرنامج الخبيث معلومات إلى المخترقين بصيغة JSON. كما يستخدم خوادم بعيدة لإنشاء قناة اتصال لتنفيذ الأوامر ومراقبة النظام.

يقول باحثو الأمن إن هذا السلوك مهم لأن أدوات الإدارة عن بعد تسمح للمتسللين بتنفيذ أوامر عن بعد وسرقةdentالاعتماد بمجرد تثبيت البرامج الضارة على نظام الضحية.

حملة Cardano كيف يستغلّ المخترقون العملات الرقمية وعلامات المنصات الشرعية لتوزيع أدوات مصابة ببرمجيات خبيثة. هذا يعني ضرورة تحقّق المستخدمين من صحة البرامج التي يستخدمونها عبر القنوات الرسمية. إضافةً إلى ذلك، يجب عليهم تجنّب تحميل تطبيقات المحافظ الرقمية من مصادر غير موثوقة أو نطاقات مُسجّلة حديثًا، بغض النظر عن مدى جودة رسائل البريد الإلكتروني المُرسلة.

هذه Cardano حملة التصيد الاحتيالي تلك التي استهدفت عملاء يستخدمون منصة ميتا للإعلانات العام الماضي. حيث يتم استدراج المستخدمين برسائل بريد إلكتروني تدّعي تعليق إعلاناتهم مؤقتًا بسبب انتهاكات لسياسات الإعلان ولوائح الاتحاد الأوروبي.

بل إن المحتالين يذهبون إلى حدّ إضفاء الشرعية على الرسائل الإلكترونية باستخدام شعار إنستغرام الرسمي وعبارات تبدو رسمية حول انتهاكات السياسة. إلا أن التدقيق كشف أن هذه الرسائل تأتي من نطاق مختلف.

أشار الباحثون إلى أنه عند النقر على الرابط، يُعاد توجيه المستخدمين إلى صفحة مزيفة لشركة ميتا بيزنس تبدو مقنعة. يُحاكي الموقع الإلكتروني موقع الدعم الحقيقي، حيث يفتح بصفحة تُحذر المستخدم من أن حسابه مُعرّض للإغلاق إذا لم يتخذ إجراءً فوريًا.

يتم خداع المستخدمين لإدخال بيانات تسجيل الدخول الخاصة بهم في الإعلانات في المساحات المخصصة، حيث يقوم فريق دعم العملاء بتوجيههم من خلال تعليمات خطوة بخطوة لاستعادة حساباتهم.