Користувачі гаманця Cardano, обережно: ретельно замасковані фішингові атаки з'являються

Джерело: Cryptonews Оригінальна назва: Гаманці Cardano під загрозою? підозріла фішингова кампанія з’являється Оригінальне посилання: https://crypto.news/cardano-wallets-under-threat-phishing-campaign/

Зловмисна інсталяційна програма містить віддалений доступний троян

Користувачі Cardano стають мішенню фішингової активності, зловмисники просувають шахрайське завантаження додатку Eternl Desktop через фальшиві листи.

Ця атака використовує професійно спроектовані листи, посилаючись на нагороди у токенах NIGHT і ATMA та план Diffusion Staking Basket для створення довіри. Виявлено зловмисну інсталяційну програму, яка поширюється через нові зареєстровані домени, виявив аналітик Anurag.

Файл Eternl.msi розміром 23.3MB містить прихований інструмент віддаленого управління, який може встановлювати несанкціонований доступ до системи жертви без її відома.

Зловмисна MSI-інсталяційна програма містить і запускає виконуваний файл під назвою unattended-updater.exe. Під час запуску цей файл створює структуру папок у каталозі Program Files системи.

Інсталятор записує кілька конфігураційних файлів, включаючи unattended.json, logger.json, mandatory.json і pc.json. Конфігурація unattended.json активує функцію віддаленого доступу без необхідності взаємодії користувача.

Мережевий аналіз показує, що зловмисне програмне забезпечення підключається до інфраструктури віддаленого управління. Цей виконуваний файл використовує закодовані API-облікові дані для передачі системних подій у форматі JSON на віддалений сервер.

Безпекові дослідники класифікували цю поведінку як критичну загрозу. Інструменти віддаленого управління забезпечують зловмисникам довгострокову персистентність, віддалене виконання команд і крадіжку облікових даних.

Активність проти користувачів Cardano

Фішингові листи зберігають витончену, професійну тональність, граматично правильні, без орфографічних помилок. Шахрайські оголошення створюють майже ідентичну копію офіційного релізу Eternl Desktop, включаючи повідомлення про сумісність із апаратними гаманцями, локальне управління ключами та розширене делегування.

Зловмисники використовують наративи управління криптовалютами та специфічні посилання на екосистему для поширення прихованих інструментів доступу. Посилання на нагороди у токенах NIGHT і ATMA додають фальшивої легітимності цій активності.

Користувачі Cardano, які прагнуть взяти участь у делегуванні або управлінні, стикаються з високим ризиком соціальної інженерії, що імітує легітимний розвиток екосистеми.

Завантаження інсталятора відбувається через нові зареєстровані домени без офіційної перевірки або цифрового підпису.

Рекомендації з безпеки

Користувачам слід перевіряти справжність програмного забезпечення лише через офіційні канали перед завантаженням гаманця.

Аналіз зловмисного ПЗ Anurag виявив спроби зловживання ланцюгом поставок, спрямовані на створення довгострокового несанкціонованого доступу. Інструменти віддаленого управління дають зловмисникам можливість дистанційного контролю, що загрожує безпеці гаманця та доступу до приватних ключів.

Користувачам слід уникати завантаження гаманця з неперевірених джерел або нових зареєстрованих доменів, незалежно від рівня професіоналізму або зовнішнього вигляду листів.