Gli utenti Cardano presi di mira da una nuova campagna di phishing sui portafogli elettronici

Gli utenti Cardano sono attualmente presi di mira da una nuova campagna di phishing sui wallet. Secondo quanto riportato, la sofisticata campagna di phishing sta attualmente circolando all'interno della community, esponendo a rischi significativi gli utenti che intendono scaricare la nuova applicazione Eternl Desktop.

Gli hacker creano email professionali in cui affermano di promuovere una soluzione di portafoglio legittima, progettata per lo staking sicuro Cardano e la partecipazione alla governance. L'annuncio utilizza termini relativi alle ricompense che gli utenti possono ottenere, tra cui NIGHT e ATMA, tramite l'attuale programma di giveaway di criptovalute, per creare credibilità e stimolare il coinvolgimento degli utenti.

Gli hacker prendono di mira gli utenti del portafoglio Cardano

Secondo quanto riportato, gli hacker sono riusciti a creare una replica dell'annuncio ufficiale di Eternl Desktop, integrandolo con un messaggio sulla compatibilità con i portafogli hardware, la gestione delle chiavi locali e il controllo avanzato della delega.

L'email ha un tono professionale e curato, con grammatica corretta e nessun errore di ortografia visibile, il che la rende molto efficace nell'ingannare i membri della community Cardano . Nel frattempo, distribuisce malware a qualsiasi sistema entri.

Secondo quanto riportato, la campagna utilizza un dominio appena registrato, download(dot)eternldesktop(dot)network, per distribuire un pacchetto di installazione dannoso senza la necessità di una verifica ufficiale o di una convalida della firma digitale.

Nell'analisi tecnica dettagliata condotta da Anurag, un cacciatore di minacce e analista di malwaredent , il file legittimo Eternl.msi contiene uno strumento di gestione remota LogMeIn Resolve nascosto nel suo pacchetto di installazione.

La scoperta ha evidenziato un tentativo di abuso della supply chain volto a stabilire non autorizzato ai sistemi delle vittime. Il programma di installazione MSI dannoso, con una dimensione di 23,3 megabyte e hash 8fa4844e40669c1cb417d7cf923bf3e0, rilascia un eseguibile chiamato unattended updater.exe, che utilizza il nome file originale GoToResolveUnattendedUpdater.exe.

Durante l'analisi in fase di esecuzione, l'eseguibile crea una struttura di cartelledentnei Programmi del sistema.

Una volta creati i file di programma, crea una directory e scrive diverse configurazioni, tra cui unattended.json, logger.json, mandatory.json e pc.json. Il file di configurazione unattended.json abilita la funzionalità di accesso remoto senza la necessità di interazione da parte dell'utente.

L'eseguibile eliminato tenta di stabilire connessioni all'infrastruttura associata ai legittimi servizi GoTo Resolve, tra cui devices-iot.console.gotoresolve.com e dumpster.console.gotoresolve.com.

Il malware fornisce agli hacker l'accesso remoto

Secondo l'analisi di rete, il malware invia informazioni agli hacker in formato JSON. Utilizza anche server remoti per stabilire un canale di comunicazione per l'esecuzione dei comandi e il monitoraggio del sistema.

Gli esperti di sicurezza affermano che questo comportamento è importante perché gli strumenti di gestione remota consentono agli hacker di eseguire comandi da remoto e rubare ledentuna volta che il malware è installato sul sistema della vittima.

La Cardano mostra anche come gli hacker utilizzino le criptovalute e il branding di piattaforme legittime per distribuire strumenti infettati da malware. Ciò significa che gli utenti devono verificare l'autenticità del software che utilizzano tramite canali ufficiali. Inoltre, devono evitare di scaricare applicazioni wallet da fonti non verificate o da domini di nuova registrazione, indipendentemente dall'affidabilità delle loro email di distribuzione.

Questa Cardano campagna di phishing è simile a quella che ha preso di mira i clienti che utilizzavano Meta per la pubblicità lo scorso anno. Gli utenti vengono attirati con email che affermano che i loro annunci sono stati temporaneamente sospesi a causa di violazioni delle norme pubblicitarie e dei regolamenti UE.

I truffatori arrivano persino a farla apparire legittima, aggiungendo il marchio ufficiale di Instagram e un linguaggio ufficiale sulle violazioni delle policy. Tuttavia, un'analisi più attenta ha rivelato che le email provenivano da un dominio diverso.

I ricercatori hanno affermato che, cliccando sul link, gli utenti vengono reindirizzati a una falsa pagina di Meta Business dall'aspetto convincente. Il sito web imita il vero sito di supporto, aprendosi con una pagina che avvisa l'utente che il suo account rischia la chiusura se non interviene immediatamente.

Gli utenti vengono ingannati e indotti a inserire i propri dati di accesso agli annunci negli spazi previsti, mentre l'assistenza clienti li guida con istruzioni dettagliate per ripristinare i loro account.