Пользователи Cardano стали жертвами новой фишинговой кампании, направленной на кошельки

Пользователи Cardano в настоящее время становятся жертвами новой фишинговой кампании, направленной на кражу кошельков. Согласно сообщениям, в сообществе распространяется изощренная фишинговая кампания, представляющая значительный риск для пользователей, намеревающихся загрузить недавно анонсированное настольное приложение Eternl.

Хакеры создают профессиональные электронные письма, якобы рекламирующие легитимное решение для кошелька, предназначенное для безопасного Cardano и участия в управлении. В объявлении используются термины, связанные с получением пользователями вознаграждений, включая NIGHT и ATMA в рамках текущей программы раздачи криптовалюты, чтобы завоевать доверие и привлечь внимание пользователей.

Хакеры атакуют пользователей кошельков Cardano

Согласно сообщениям, хакерам удалось создать копию официального объявления Eternl Desktop, дополнив его сообщением о совместимости с аппаратными кошельками, локальном управлении ключами и расширенном управлении делегированием.

В электронном письме используется отточенный, профессиональный тон, грамматика безупречна, орфография отсутствует, что делает его очень эффективным средством обмана членов сообщества Cardano . При этом оно распространяет вредоносное ПО на любую систему, в которую попадает.

В сообщениях говорилось, что в рамках этой кампании используется недавно зарегистрированный домен download(dot)eternldesktop(dot)network для распространения вредоносного установочного пакета без необходимости официальной проверки или подтверждения цифровой подписи.

В ходе детального технического анализа, проведенного Анурагом,dent специалистом по поиску угроз и анализу вредоносного ПО, было установлено, что легитимный файл Eternl.msi содержит скрытый инструмент удаленного управления LogMeIn Resolve, входящий в состав установочного пакета.

В результате обнаружения была выявлена ​​попытка злоупотребления цепочкой поставок, направленная на установление постоянного несанкционированного доступа к системам жертв. Вредоносный MSI-установщик размером 23,3 мегабайта с хешем 8fa4844e40669c1cb417d7cf923bf3e0 размещает исполняемый файл под названием unattendedupdater.exe, который использует исходное имя файла GoToResolveUnattendedUpdater.exe.

В процессе анализа во время выполнения исполняемый файл создаетdentструктуру папок в папке Program Files системы.

После создания папки Program Files программа создает каталог и записывает в него несколько конфигурационных файлов, включая unattended.json, logger.json, mandatory.json и pc.json. Конфигурационный файл unattended.json обеспечивает функцию удаленного доступа без необходимости взаимодействия с пользователем.

Загруженный исполняемый файл пытается установить соединение с инфраструктурой, связанной с легитимными сервисами GoTo Resolve, включая devices-iot.console.gotoresolve.com и dumpster.console.gotoresolve.com.

Вредоносное ПО предоставляет хакерам удаленный доступ

Согласно анализу сети, вредоносная программа отправляет информацию хакерам в формате JSON. Она также использует удаленные серверы для установления канала связи для выполнения команд и мониторинга системы.

Исследователи в области безопасности утверждают, что такое поведение важно, поскольку инструменты удаленного управления позволяют хакерам удаленно выполнять команды и крастьdentданные после установки вредоносного ПО в систему жертвы.

Фишинговая Cardano также демонстрирует, как хакеры используют криптовалюту и брендинг легитимных платформ для распространения инструментов, зараженных вредоносным ПО. Это означает, что пользователям необходимо проверять подлинность используемого программного обеспечения через официальные каналы. Кроме того, им следует избегать загрузки приложений-кошельков из непроверенных источников или недавно зарегистрированных доменов, независимо от того, насколько убедительно выглядят электронные письма с рассылкой.

Эта Cardano фишинговая кампания в отношении похожа на ту, которая в прошлом году была нацелена на пользователей Meta для размещения рекламы. Пользователей заманивают электронными письмами, в которых утверждается, что их реклама временно приостановлена ​​из-за нарушений правил размещения рекламы и норм ЕС.

Мошенники даже заходят так далеко, что создают видимость легитимности, добавляя официальный логотип Instagram и формулировки, звучащие как официальные, о нарушениях правил. Однако при более внимательном рассмотрении выяснилось, что электронные письма были отправлены с другого домена.

Исследователи отметили, что при переходе по ссылке пользователи перенаправляются на поддельную страницу MetaBusiness, которая выглядит убедительно. Веб-сайт имитирует настоящий сайт поддержки, открываясь страницей, предупреждающей пользователя о том, что его учетная запись будет заблокирована, если он немедленно не предпримет никаких действий.

Пользователей обманом заставляют ввести свои учетные данные для входа в Ad в соответствующие поля, после чего служба поддержки предоставляет им пошаговые инструкции по восстановлению аккаунта.