Карточные кошельки под угрозой? появляется подозрительная фишинговая кампания

Фишинговая кампания нацелена на пользователей Cardano через фальшивые электронные письма, продвигающие мошенническое скачивание приложения Eternl Desktop.

Атака использует профессионально подготовленные сообщения, ссылающиеся на награды в токенах NIGHT и ATMA через программу Diffusion Staking Basket, чтобы установить доверие.

Охотник за угрозами Anurag обнаружил вредоносный установщик, распространяемый через недавно зарегистрированный домен download.eternldesktop.network.

Файл Eternl.msi объемом 23.3 мегабайта содержит скрытый инструмент удаленного управления LogMeIn Resolve, который устанавливает несанкционированный доступ к системам жертв без ведома пользователя.

Фальшивый установщик включает удаленный доступный троян

Вредоносный MSI-установщик содержит конкретный и устанавливает исполняемый файл unattended-updater.exe с оригинальным именем. Во время работы исполняемый файл создает структуру папок в каталоге Program Files системы.

Установщик записывает несколько конфигурационных файлов, включая unattended.json, logger.json, mandatory.json и pc.json.

Конфигурация unattended.json включает функциональность удаленного доступа без необходимости взаимодействия пользователя.

Анализ сети показывает, что вредоносное ПО подключается к инфраструктуре GoTo Resolve. Исполняемый файл передает информацию о системных событиях в формате JSON на удаленные серверы, используя жестко закодированные API-учетные данные.

Специалисты по безопасности классифицируют поведение как критическое. Инструменты удаленного управления предоставляют злоумышленникам возможности для долгосрочного сохранения доступа, выполнения команд удаленно и сбора учетных данных после установки на системы жертв.

Фишинговые письма сохраняют профессиональный и аккуратный тон, с правильной грамматикой и без орфографических ошибок.

Мошенническое объявление создает почти идентичную копию официального релиза Eternl Desktop, включая сообщения о совместимости с аппаратными кошельками, локальном управлении ключами и расширенных возможностях делегирования.

Кампания нацелена на пользователей Cardano

Злоумышленники используют нарративы управления криптовалютами и специфические для экосистемы ссылки для распространения скрытых инструментов доступа.

Упоминания о наградах в токенах NIGHT и ATMA через программу Diffusion Staking Basket придают ложную легитимность мошеннической кампании.

Пользователи Cardano, желающие участвовать в стекинге или функциях управления, сталкиваются с высоким риском социальной инженерии, имитирующей легитимные события экосистемы.

Недавно зарегистрированный домен распространяет установщик без официальной проверки или цифровой подписи.

Пользователи должны проверять подлинность программного обеспечения исключительно через официальные каналы перед загрузкой кошельковых приложений.

Анализ вредоносного ПО Anurag выявил попытку злоупотребления цепочкой поставок, направленную на установление постоянного несанкционированного доступа.

Инструмент GoTo Resolve предоставляет злоумышленникам возможности удаленного управления, что компрометирует безопасность кошелька и доступ к приватным ключам.

Пользователям следует избегать загрузки кошельковых приложений из неподтвержденных источников или недавно зарегистрированных доменов, независимо от профессионального вида или аккуратности письма.