- Nagpapadala ng isang masasamang Eternl.msi installer na may GoTo Resolve malware ang mga mananakop, na nagpapahintulot sa remote access at pagkuha ng mga kredensyal.
- Ang mga phishing email ay nagmimic ng opisyales na mga anunsiyo ng Eternl, pinagmamalaki ang mga reperensya sa staking at pamamahala upang maging legal.
- Ang mga user ay dapat lamang i-download ang mga wallet mula sa mga patunayang channel ng Eternl upang maiwasan ang patuloy na hindi awtorisadong pag-access at impeksyon ng malware.
Isang sophisticated na phishing na kumpanya ang tumutulong sa mga gumagamit ng Cardano (ADA) sa pamamagitan ng mga mapanlinlang na email na nagpopromote ng isang mapanlinlang na Eternl Desktop wallet. Ang pamamahagi Nag-uugnay ng mga wastong termino ng ecosystem tulad ng GABI at MATMA token rewards. Ang mga eksperto sa seguridad ay nangangalay sa mga user na i-download ang wallet software lamang mula sa mga napatunayang channel upang maiwasan ang malware at di-awtorisadong pag-access.
Malware Installer na Disguised bilang Wallet Software
Nakilala ng threat hunter si Anurag ang masamang installer ipamamahagi sa pamamagitan ng hindi napapatunayang domain download.eternldesktop.network. Ang 23.3-megabyte Eternl.msi file ay nagdadala ng nakatagong LogMeIn GoTo Resolve remote management tool.
Sa panahon ng pag-install, ito ay nag-drop ng isang executable na tinatawag na unattended-updater.exe, na gumagawa ng mga file ng configuration sa ilalim ng Program Files upang mag-allow ng remote access nang walang pakikipag-ugnayan ng user. Ang malware ay nagkonekta sa GoTo Resolve infrastructure, nagpapadala ng data ng system event sa JSON format gamit ang hardcoded na API credentials.
Ang mga mananaliksik sa seguridad ay klasipikado ang aktibidad bilang kritikal, tandaan na ang mga tool sa remote management ay nagpapahintulot ng pangmatagalang pagpapanatili, mga remote command, at pagkuha ng kredensyal kahit kailanman ito inilatag.
Ang Kampanya Ay Gumagamit Ng Propesyonal Na Mga Teknik Ng Phishing
Ang phishing ang mga email ay nagmamantini ng propesyonal na wika na walang mga error sa spelling, malapit nang sumusunod sa opisyales na anunsiyo ng Eternl Desktop. Ang mga mensahe ay nagpopromote ng mga tampok tulad ng kompatibilidad ng hardware wallet, lokal na pamamahala ng key, at mga advanced na kontrol sa delegation.
Nagmamali ng mga pananalita tungkol sa pamamahala at mga partikular na sanggunian sa ekosistema, ang mga mananakop ay lumilikha ng maliwanag na legalidad sa mga gantimpala ng Diffusion Staking Basket. Nagbibilang ang mga eksperto na ang kampanya ay nakatuon sa mga user na naghahanap na sumali sa mga aktibidad sa staking o pamamahala.
Ang pang-aabuso sa installer ay kumukulang sa mga digital na lagda o pagpapatunay, na naghihiwalay sa mga user na kumpirmahin ang katotohanan bago i-install. Ipinapalakas ng mga analyst na ang mga bagong rehistradong domain at hindi opisyales na mga link sa pag-download ay ang pangunahing mga senyales ng babala.
Panganib ng Patuloy na Di-Pinahihintulot na Pagganap
Nakalikha ang pagsusuri ni Anurag ng intentong pang-abuso sa supply chain, na nagpapahintulot sa mga mananakop upang itaguyod ang patuloy na pag-access sa mga system ng biktima. Pagkatapos itanim, ang malware ay naghihiganti ng seguridad ng wallet at pag-access sa pribadong susi. Ang mga mananaliksik sa seguridad ay nangangalap ng mga application ng wallet eksklusibo mula sa opisyales na mga channel ng Eternl.
Inaanyayahan ang mga gumagamit na manatiling maingat at iwasan ang pag-install ng mga software mula sa hindi napapatunayang mga pinagmulan. Ipinapakita ng kampanya ang patuloy na mga banta sa cryptocurrency ecosystem, ipinapakita kung paano ginagamit ng mga attacker ang mga update na tila pinagmumulan ng kumpiyansa upang makakuha ng kontrol sa mga device ng mga user.