Cardano Nutzer im Visier einer neuen Wallet-Phishing-Kampagne

Cardano Nutzer sind aktuell Ziel einer neuen Phishing-Kampagne, die es auf ihre Wallets abgesehen hat. Berichten zufolge kursiert diese ausgeklügelte Phishing-Kampagne derzeit in der Community und stellt ein erhebliches Risiko für Nutzer dar, die die neu angekündigte Eternl Desktop-Anwendung herunterladen möchten.

Die Hacker verfassen professionelle E-Mails, in denen sie vorgeben, eine seriöse Wallet-Lösung für sicheres Cardano Staking und die Teilnahme an der Governance zu bewerben. Die Ankündigung verwendet Begriffe im Zusammenhang mit Belohnungen für Nutzer, darunter NIGHT- und ATMA-Token-Belohnungen aus dem aktuellen Krypto-Gewinnspielprogramm, um Glaubwürdigkeit zu erzeugen und die Nutzerinteraktion zu fördern.

Hacker haben es auf Cardano -Wallet-Nutzer abgesehen

Laut Berichten gelang es den Hackern, eine Kopie der offiziellen Ankündigung von Eternl Desktop zu erstellen und diese um eine Nachricht über Hardware-Wallet-Kompatibilität, lokales Schlüsselmanagement und erweiterte Delegierungskontrolle zu ergänzen.

Die E-Mail wirkt professionell und fehlerfrei, mit korrekter Grammatik und ohne erkennbare Rechtschreibfehler, wodurch sie sich hervorragend eignet, Mitglieder Cardano Community zu täuschen. Gleichzeitig verbreitet sie Schadsoftware auf jedem System, in das sie eindringt.

In Berichten wurde erwähnt, dass die Kampagne eine neu registrierte Domain, download(dot)eternldesktop(dot)network, nutzt, um ein schädliches Installationspaket ohne offizielle Verifizierung oder Validierung durch eine digitale Signatur zu verbreiten.

In der detaillierten technischen Analyse, die von Anurag, einemdent Bedrohungsjäger und Malware-Analysten, durchgeführt wurde, enthielt die legitime Eternl.msi-Datei ein verstecktes LogMeIn Resolve-Fernverwaltungstool, das in ihrem Installationspaket enthalten war.

Die Entdeckung deckte einen Versuch des Missbrauchs der Lieferkette auf, der darauf abzielte, dauerhaften unbefugten Zugriff auf die Systeme der Opfer zu erlangen. Das schädliche MSI-Installationsprogramm mit einer Größe von 23,3 Megabyte und dem Hashwert 8fa4844e40669c1cb417d7cf923bf3e0 legt eine ausführbare Datei namens „unattended updater.exe“ ab, die ursprünglich den Dateinamen „GoToResolveUnattendedUpdater.exe“ verwendet.

Während der Laufzeitanalyse erstellt die ausführbare Datei einedentOrdnerstruktur im Ordner „Programme“ des Systems.

Nachdem der Ordner „Programme“ erstellt wurde, wird ein Verzeichnis angelegt und verschiedene Konfigurationsdateien erstellt, darunter unattended.json, logger.json, mandatory.json und pc.json. Die Konfigurationsdatei unattended.json ermöglicht den Fernzugriff ohne Benutzerinteraktion.

Die verworfene ausführbare Datei versucht, Verbindungen zu Infrastrukturen herzustellen, die mit legitimen GoTo Resolve-Diensten verbunden sind, einschließlich devices-iot.console.gotoresolve.com und dumpster.console.gotoresolve.com.

Malware ermöglicht Hackern den Fernzugriff

Laut Netzwerkanalyse sendet die Schadsoftware Informationen im JSON-Format an die Hacker. Sie nutzt außerdem entfernte Server, um einen Kommunikationskanal zur Befehlsausführung und Systemüberwachung herzustellen.

Sicherheitsforscher sagen, dieses Verhalten sei wichtig, da Fernverwaltungstools es Hackern ermöglichen, ferngesteuerte Befehle auszuführen unddentzu stehlen, sobald die Schadsoftware auf dem System eines Opfers installiert ist.

Die Cardano Phishing-Kampagne zeigt, wie Hacker Kryptowährungen und das Branding seriöser Plattformen , um mit Schadsoftware infizierte Tools zu verbreiten. Nutzer sollten daher die Echtheit ihrer Software stets über offizielle Kanäle überprüfen. Zudem ist es wichtig, Wallet-Anwendungen nicht von unbekannten Quellen oder neu registrierten Domains herunterzuladen, selbst wenn die Absender-E-Mails seriös wirken.

Diese Cardano Phishing-Kampagne ähnelt derjenigen, die letztes Jahr Kunden ins Visier nahm, die Meta für Werbung nutzten. Die Nutzer werden mit E-Mails geködert, in denen behauptet wird, ihre Anzeigen seien aufgrund von Verstößen gegen Werberichtlinien und EU-Vorschriften vorübergehend gesperrt worden.

Die Betrüger gehen sogar so weit, die E-Mails durch die Verwendung des offiziellen Instagram-Logos und offiziell klingender Formulierungen über Richtlinienverstöße echt erscheinen zu lassen. Bei genauerer Betrachtung stellte sich jedoch heraus, dass die E-Mails von einer anderen Domain stammten.

Die Forscher wiesen darauf hin, dass Nutzer nach dem Anklicken des Links auf eine gefälschte Meta Business-Seite weitergeleitet werden, die täuschend echt aussieht. Die Website imitiert die echte Support-Seite und zeigt beim Öffnen eine Seite an, die den Nutzer warnt, dass sein Konto gesperrt wird, wenn er nicht sofort handelt.

Die Nutzer werden dazu verleitet, ihre Anmeldedaten für Ad in die dafür vorgesehenen Felder einzugeben. Der Kundensupport leitet sie dann mit einer Schritt-für-Schritt-Anleitung an, um ihre Konten wiederherzustellen.