Usuários Cardano são alvos de nova campanha de phishing envolvendo carteiras digitais

Usuários Cardano estão sendo alvo de uma nova campanha de phishing direcionada a carteiras. Segundo relatos, a sofisticada campanha de phishing está circulando na comunidade, representando riscos significativos para usuários que pretendem baixar o aplicativo Eternl Desktop, recém-anunciado.

Os hackers elaboram e-mails profissionais alegando promover uma solução legítima de carteira digital projetada para staking seguro Cardano . O anúncio utiliza termos relacionados a recompensas para os usuários, incluindo NIGHT e ATMA por meio do programa de distribuição de criptomoedas vigente, para estabelecer credibilidade e impulsionar o engajamento do usuário.

Hackers estão visando usuários da carteira Cardano

Segundo relatos, os hackers conseguiram criar uma réplica do anúncio oficial do Eternl Desktop, complementando-o com uma mensagem sobre compatibilidade com carteiras de hardware, gerenciamento de chaves locais e controle avançado de delegação.

O e-mail apresenta um tom profissional e refinado, com gramática impecável e sem erros ortográficos visíveis, o que o torna muito eficaz para enganar os membros da comunidade Cardano . Ao mesmo tempo, ele distribui malware para qualquer sistema que consiga acessar.

Os relatórios mencionaram que a campanha usa um domínio recém-registrado, download(dot)eternldesktop(dot)network, para distribuir um pacote de instalação malicioso sem a necessidade de verificação oficial ou validação de assinatura digital.

Na análise técnica detalhada realizada por Anurag, um analistadent de ameaças e malware, o arquivo legítimo Eternl.msi contém uma ferramenta oculta de gerenciamento remoto LogMeIn Resolve, incluída em seu pacote de instalação.

A descoberta expôs uma tentativa de abuso da cadeia de suprimentos com o objetivo de estabelecer não autorizado em sistemas das vítimas. O instalador MSI malicioso, com tamanho de 23,3 megabytes e hash 8fa4844e40669c1cb417d7cf923bf3e0, instala um executável chamado unattendedupdater.exe, que utiliza o nome de arquivo original GoToResolveUnattendedUpdater.exe.

Durante a análise em tempo de execução, o executável cria uma estrutura de pastasdentna pasta Arquivos de Programas do sistema.

Após criar a pasta Arquivos de Programas, o programa cria um diretório e grava várias configurações, incluindo unattended.json, logger.json, mandatory.json e pc.json. O arquivo de configuração unattended.json habilita a funcionalidade de acesso remoto sem a necessidade de interação do usuário.

O executável instalado tenta estabelecer conexões com a infraestrutura associada aos serviços legítimos do GoTo Resolve, incluindo devices-iot.console.gotoresolve.com e dumpster.console.gotoresolve.com.

O malware fornece aos hackers acesso remoto

De acordo com a análise de rede, o malware envia informações aos hackers em formato JSON. Ele também utiliza servidores remotos para estabelecer um canal de comunicação para execução de comandos e monitoramento do sistema.

Pesquisadores de segurança afirmam que esse comportamento é importante porque as ferramentas de gerenciamento remoto permitem que hackers executem comandos remotamente e roubemdentassim que o malware for instalado no sistema da vítima.

A Cardano também demonstra como hackers utilizam criptomoedas e a marca de plataformas legítimas para distribuir ferramentas infectadas com malware. Isso significa que os usuários precisam verificar a autenticidade do software que utilizam por meio de canais oficiais. Além disso, devem evitar baixar aplicativos de carteira de fontes não verificadas ou domínios recém-registrados, independentemente da aparência de seus e-mails de distribuição.

Esta Cardano campanha de phishing é semelhante àquela que teve como alvo clientes que usavam a Meta para anúncios no ano passado. Os usuários são atraídos por e-mails que alegam que seus anúncios foram suspensos temporariamente devido a violações das políticas de publicidade e regulamentos da UE.

Os golpistas chegam ao ponto de dar uma aparência de legitimidade ao adicionar a marca oficial do Instagram e uma linguagem que soa oficial sobre violações das políticas. No entanto, uma análise mais detalhada mostrou que os e-mails eram de um domínio diferente.

Os pesquisadores mencionaram que, ao clicar no link, os usuários são redirecionados para uma página falsa da Meta Business que parece convincente. O site imita o site de suporte verdadeiro, abrindo com uma página que avisa o usuário que sua conta será encerrada se ele não tomar providências imediatamente.

Os usuários são enganados para inserir seus dados de login de anúncios nos campos fornecidos, e o suporte ao cliente os guia com instruções passo a passo para restaurar suas contas.