- Атакующие распространяют вредоносный установщик Eternl.msi с программным обеспечением GoTo Resolve, позволяющим получить удаленный доступ и украсть учетные данные.
- Фишинговые электронные письма имитируют официальные объявления Eternl, используя ссылки на стейкинг и управление, чтобы выглядеть легитимно.
- Пользователям необходимо скачивать кошельки только из проверенных каналов Eternl, чтобы предотвратить постоянный несанкционированный доступ и заражение вредоносным программным обеспечением.
Сложная фишинговая кампания направлена на пользователей Cardano (ADA) через мошеннические электронные письма, рекламирующие поддельный десктопный кошелек Eternl. кампания ссылается на законные термины экосистемы, такие как NIGHT и вознаграждение токенами ATMA. Эксперты по безопасности предупреждают пользователей о том, что программное обеспечение для кошелька следует скачивать только из проверенных источников, чтобы избежать вредоносного ПО и несанкционированного доступа.
Вредоносная программа-установщик, маскирующаяся под кошельковое ПО
Киберпреступник Анураг обнаружил злонамеренный установщик распространяется через недостоверный домен download.eternldesktop.network. Файл Eternl.msi объемом 23,3 мегабайта содержит скрытый инструмент удаленного управления LogMeIn GoTo Resolve.
Во время установки он размещает исполняемый файл с названием unattended-updater.exe, который создает конфигурационные файлы в Program Files для включения удаленного доступа без взаимодействия с пользователем. Вредоносная программа подключается к инфраструктуре GoTo Resolve, передавая данные системных событий в формате JSON с использованием жестко заданных учетных данных API.
Исследователи в области безопасности классифицировали активность как критическую, отметив, что инструменты удаленного управления позволяют обеспечивать долгосрочное присутствие, выполнять удаленные команды и красть учетные данные после установки.
Кампания использует профессиональные техники фишинга
The фишинг электронные письма используют профессиональный язык без орфографических ошибок, тесно имитируя официальные объявления Eternl Desktop. Сообщения продвигают такие функции, как совместимость с аппаратными кошельками, локальное управление ключами и расширенные управляющие делегирования.
Атакующие используют повествования о управлении и ссылки, специфичные для экосистемы, создавая ложную легитимность вокруг вознаграждений Diffusion Staking Basket. Эксперты предупреждают, что кампания направлена на пользователей, желающих участвовать в стейкинге или в деятельности по управлению.
Поддельный установщик не имеет цифровых подписей или проверки, что не позволяет пользователям подтверждать подлинность перед установкой. Аналитики подчеркивают, что новые зарегистрированные домены и неподтвержденные ссылки для загрузки являются ключевыми предупреждающими знаками.
Риск постоянного несанкционированного доступа
Анализ Анурага выявил намерение злоупотребить цепочкой поставок, что позволило атакующие для установления постоянного доступа к системам жертв. После установки вредоносная программа нарушает безопасность кошелька и доступ к закрытому ключу. Специалисты по безопасности рекомендуют скачивать приложения кошелька исключительно через официальные каналы Eternl.
Пользователей призывают соблюдать осторожность и не устанавливать программное обеспечение из непроверенных источников. Кампания подчеркивает текущие угрозы в экосистеме криптовалют, демонстрируя, как злоумышленники используют обновления, выглядящие надежно, чтобы получить контроль над устройствами пользователей.