Les utilisateurs Cardano ciblés par une nouvelle campagne d'hameçonnage de portefeuilles

Les utilisateurs Cardano sont actuellement la cible d'une nouvelle campagne d'hameçonnage visant leur portefeuille. Selon les informations disponibles, cette campagne sophistiquée circule actuellement au sein de la communauté et représente un risque important pour les utilisateurs souhaitant télécharger la nouvelle application Etern Desktop.

Les pirates informatiques rédigent des courriels professionnels prétendant promouvoir une solution de portefeuille légitime conçue pour le staking sécurisé Cardano et la participation à sa gouvernance. L'annonce utilise des termes liés aux récompenses obtenues par les utilisateurs, notamment NIGHT et ATMA grâce au programme de distribution de cryptomonnaies en cours, afin d'établir sa crédibilité et de susciter l'intérêt des utilisateurs.

Des pirates informatiques ciblent les utilisateurs de portefeuilles Cardano

Selon les informations disponibles, les pirates informatiques ont réussi à créer une réplique de l'annonce officielle d'Eternl Desktop, en y ajoutant un message concernant la compatibilité avec les portefeuilles matériels, la gestion locale des clés et le contrôle avancé de la délégation.

Ce courriel, rédigé dans un style soigné et professionnel, sans fautes d'orthographe ni de grammaire apparentes, est très efficace pour tromper les membres de la communauté Cardano . Parallèlement, il propage un logiciel malveillant sur tout système infecté.

Des rapports indiquent que la campagne utilise un domaine nouvellement enregistré, download(dot)eternldesktop(dot)network, pour distribuer un package d'installation malveillant sans avoir besoin d'une vérification officielle ou d'une validation de signature numérique.

Dans l'analyse technique détaillée réalisée par Anurag, un chasseur de menaces et analyste de logiciels malveillantsdent , le fichier légitime Eternal.msi contient un outil de gestion à distance LogMeIn Resolve caché, intégré à son package d'installation.

Cette découverte a révélé une tentative d'exploitation de la chaîne d'approvisionnement visant à établir non autorisé aux systèmes des victimes. Le programme d'installation MSI malveillant, d'une taille de 23,3 mégaoctets et dont le hachage est 8fa4844e40669c1cb417d7cf923bf3e0, dépose un exécutable nommé unattended updater.exe, qui utilise le nom de fichier original GoToResolveUnattendedUpdater.exe.

Lors de l'analyse en cours d'exécution, le fichier exécutable crée une structure de dossiersdentsous le répertoire Program Files du système.

Une fois le dossier Program Files créé, le programme crée un répertoire et y inscrit plusieurs fichiers de configuration, notamment unattended.json, logger.json, mandatory.json et pc.json. Le fichier de configuration unattended.json active l'accès à distance sans intervention de l'utilisateur.

Le fichier exécutable déposé tente d'établir des connexions à l'infrastructure associée aux services légitimes de GoTo Resolve, notamment devices-iot.console.gotoresolve.com et dumpster.console.gotoresolve.com.

Les logiciels malveillants permettent aux pirates d'accéder à distance

D'après l'analyse du réseau, le logiciel malveillant envoie des informations aux pirates informatiques au format JSON. Il utilise également des serveurs distants pour établir un canal de communication permettant l'exécution de commandes et la surveillance du système.

Les chercheurs en sécurité affirment que ce comportement est important car les outils de gestion à distance permettent aux pirates d'exécuter des commandes à distance et de voler desdentune fois le logiciel malveillant installé sur le système de la victime.

La Cardano illustre comment les pirates informatiques utilisent les cryptomonnaies et l'image de marque de plateformes légitimes pour diffuser des outils infectés par des logiciels malveillants. Il est donc essentiel que les utilisateurs vérifient l'authenticité des logiciels qu'ils utilisent auprès des sources officielles. De plus, ils doivent éviter de télécharger des applications de portefeuille provenant de sources non vérifiées ou de domaines récemment enregistrés, aussi crédibles que puissent paraître les courriels de distribution.

Cette Cardano campagne d'hameçonnage est similaire à celle qui a ciblé les clients utilisant Meta pour la publicité l'année dernière. Les utilisateurs sont piégés par des courriels prétendant que leurs annonces ont été temporairement suspendues pour non-respect des règles publicitaires et de la réglementation européenne.

Les escrocs vont même jusqu'à donner une apparence de légitimité à leurs e-mails en y intégrant le logo officiel d'Instagram et un langage officiel évoquant des violations de règlement. Cependant, un examen plus approfondi a révélé que les e-mails provenaient d'un domaine différent.

Les chercheurs ont constaté qu'en cliquant sur le lien, les utilisateurs sont redirigés vers une fausse page Meta Business d'apparence convaincante. Ce site web imite le véritable site d'assistance et s'ouvre sur une page avertissant l'utilisateur que son compte risque d'être suspendu s'il n'agit pas immédiatement.

Les utilisateurs sont incités à saisir leurs identifiants publicitaires dans les champs prévus à cet effet, le service client les guidant ensuite étape par étape pour restaurer leurs comptes.