Cardano钱包用户警惕：精心伪装的钓鱼攻击浮出水面

Source: Cryptonews Original Title: Cardano wallets under threat? suspicious phishing campaign surfaces Original Link: https://crypto.news/cardano-wallets-under-threat-phishing-campaign/

恶意安装程序包含远程访问木马

Cardano用户正成为一场钓鱼活动的目标，攻击者通过虚假邮件推广欺诈性的Eternl Desktop应用程序下载。

该攻击利用专业精心设计的邮件消息，引用NIGHT和ATMA代币奖励及Diffusion Staking Basket计划来建立可信度。威胁猎手Anurag发现了一个通过新注册域名分发的恶意安装程序。

23.3MB的Eternl.msi文件包含隐藏的远程管理工具，可在用户不知情的情况下建立对受害者系统的未授权访问。

恶意MSI安装程序携带并释放一个名为unattended-updater.exe的可执行文件。运行时，该可执行文件在系统的Program Files目录下创建文件夹结构。

安装程序写入多个配置文件，包括unattended.json、logger.json、mandatory.json和pc.json。unattended.json配置启用远程访问功能，无需用户交互。

网络分析显示恶意软件连接到远程管理基础设施。该可执行文件使用硬编码的API凭证将系统事件信息以JSON格式传输到远程服务器。

安全研究人员将此行为分类为关键威胁。远程管理工具为威胁参与者提供长期持久化、远程命令执行和凭证窃取的能力。

针对Cardano用户的活动

钓鱼邮件保持着精致、专业的语气，语法正确，无拼写错误。欺诈性公告创建了官方Eternl Desktop发布的几乎完全相同的副本，包括有关硬件钱包兼容性、本地密钥管理和高级委托控制的消息。

攻击者利用加密货币治理叙事和生态系统特定的参考资料来分发隐蔽访问工具。对NIGHT和ATMA代币奖励的引用为恶意活动增添了虚假的合法性。

寻求参与质押或治理功能的Cardano用户面临来自模仿合法生态系统发展的社会工程战术的高风险。

新注册的域名分发安装程序，无官方验证或数字签名验证。

安全建议

用户应在下载钱包应用程序前，仅通过官方渠道验证软件真实性。

Anurag的恶意软件分析揭示了供应链滥用尝试，旨在建立持久的未授权访问。远程管理工具为攻击者提供了远程控制能力，危害钱包安全和私钥访问。

用户应避免从未验证的来源或新注册域名下载钱包应用程序，无论电子邮件的精美程度或专业外观如何。