Μια εξελιγμένη καμπάνια phishing κυκλοφορεί επί του παρόντος στην κοινότητα Cardano, εγκυμονώντας σημαντικούς κινδύνους για τους χρήστες που θέλουν να κατεβάσουν την πρόσφατα ανακοινωθείσα εφαρμογή Eternl Desktop.
Η επίθεση αξιοποιεί ένα επαγγελματικά κατασκευασμένο email που ισχυρίζεται ότι προωθεί μια νόμιμη λύση πορτοφολιού σχεδιασμένη για ασφαλή ποντάρισμα με διακριτικά Cardano και συμμετοχή στη διακυβέρνηση.
Η δόλια ανακοίνωση αναφέρεται σε κίνητρα ειδικά για το οικοσύστημα, συμπεριλαμβανομένων ανταμοιβών NIGHT και ATMA token μέσω του προγράμματος Diffusion Staking Basket, για τη δημιουργία αξιοπιστίας και την ενίσχυση της αφοσίωσης των χρηστών.
Οι εισβολείς έχουν δημιουργήσει ένα σχεδόν πανομοιότυπο αντίγραφο της επίσημης ανακοίνωσης του Eternl Desktop, με μηνύματα σχετικά με τη συμβατότητα πορτοφολιού υλικού, τη διαχείριση τοπικών κλειδιών και τα προηγμένα στοιχεία ελέγχου εκχώρησης.
Το email διατηρεί έναν κομψό, επαγγελματικό τόνο με σωστή γραμματική και χωρίς ορατά ορθογραφικά λάθη, καθιστώντας το ιδιαίτερα αποτελεσματικό στην εξαπάτηση των μελών της κοινότητας.
Η καμπάνια χρησιμοποιεί έναν πρόσφατα καταχωρημένο τομέα, download.eternldesktop.network, για τη διανομή ενός κακόβουλου πακέτου προγράμματος εγκατάστασης χωρίς καμία επίσημη επαλήθευση ή επικύρωση ψηφιακής υπογραφής.
Ανεξάρτητος κυνηγός απειλών και αναλυτής κακόβουλου λογισμικού Anurag αναγνωρισθείς το κακόβουλο πρόγραμμα εγκατάστασης μέσω λεπτομερούς τεχνικής εξέτασης, αποκαλύπτοντας ότι το φαινομενικά νόμιμο αρχείο Eternl.msi περιέχει ένα κρυφό εργαλείο απομακρυσμένης διαχείρισης LogMeIn Resolve που περιλαμβάνεται στο πακέτο εγκατάστασής του.
Αυτή η ανακάλυψη αποκάλυψε μια σημαντική προσπάθεια κατάχρησης της εφοδιαστικής αλυσίδας με στόχο τη δημιουργία επίμονης μη εξουσιοδοτημένης πρόσβασης σε συστήματα θυμάτων.
Κακόβουλο πρόγραμμα εγκατάστασης MSI
Το κακόβουλο πρόγραμμα εγκατάστασης MSI, μεγέθους 23,3 megabyte με κατακερματισμό 8fa4844e40669c1cb417d7cf923bf3e0, στην πραγματικότητα ρίχνει ένα εκτελέσιμο αρχείο που ονομάζεται unattended-updater.exe που φέρει το αρχικό όνομα αρχείου GoToResolveUnattertendedU.
.webp.jpeg)
Κατά τη διάρκεια της ανάλυσης χρόνου εκτέλεσης, αυτό το εκτελέσιμο αρχείο δημιουργεί μια μοναδικά αναγνωρισμένη δομή φακέλου κάτω από τον κατάλογο Program Files του συστήματος και εγγράφει πολλαπλά αρχεία διαμόρφωσης, συμπεριλαμβανομένων των unattended.json, logger.json, mandatory.json και pc.json.
Το αρχείο διαμόρφωσης unattended.json επιτρέπει τη λειτουργία απομακρυσμένης πρόσβασης χωρίς να απαιτείται αλληλεπίδραση ή ενημέρωση του χρήστη.
Το εκτελέσιμο αρχείο που απορρίφθηκε προσπαθεί να δημιουργήσει συνδέσεις με υποδομές που σχετίζονται με νόμιμες υπηρεσίες GoTo Resolve, συμπεριλαμβανομένων των συσκευών-iot.console.gotoresolve.com και dumpster.console.gotoresolve.com.
Η ανάλυση δικτύου αποκαλύπτει ότι το κακόβουλο λογισμικό μεταδίδει πληροφορίες συμβάντων συστήματος σε μορφή JSON σε απομακρυσμένους διακομιστές χρησιμοποιώντας σκληρά κωδικοποιημένα διαπιστευτήρια API, δημιουργώντας ένα κανάλι επικοινωνίας για την εκτέλεση εντολών και την παρακολούθηση του συστήματος.
Οι ερευνητές ασφαλείας ταξινομούν αυτή τη συμπεριφορά ως κρίσιμη, επειδή τα εργαλεία απομακρυσμένης διαχείρισης παρέχουν στους φορείς απειλών δυνατότητες για μακροπρόθεσμη εμμονή, απομακρυσμένη εκτέλεση εντολών και συλλογή διαπιστευτηρίων μόλις εγκατασταθούν σε συστήματα θυμάτων.
Αυτή η καμπάνια δείχνει πώς οι αφηγήσεις διακυβέρνησης κρυπτονομισμάτων και οι αναφορές οικοσυστημάτων δανεισμού νομιμότητας χρησιμοποιούνται για τη διανομή εργαλείων μυστικής πρόσβασης.
Οι χρήστες θα πρέπει να επαληθεύουν την αυθεντικότητα του λογισμικού μόνο μέσω επίσημων καναλιών και να αποφεύγουν τη λήψη εφαρμογών πορτοφολιού από μη επαληθευμένες πηγές ή νέους εγγεγραμμένους τομείς, ανεξάρτητα από το πόσο εκλεπτυσμένα εμφανίζονται τα μηνύματα ηλεκτρονικού ταχυδρομείου διανομής.
