Portefeuilles Cardano menacés ? une campagne de phishing suspecte apparaît

Une campagne de phishing cible les utilisateurs de Cardano via de faux emails promouvant le téléchargement frauduleux d’une application Eternl Desktop.

L’attaque exploite des messages soigneusement élaborés faisant référence aux récompenses en jetons NIGHT et ATMA via le programme Diffusion Staking Basket pour établir une crédibilité.

Le chasseur de menaces Anurag a identifié un installateur malveillant distribué via un domaine récemment enregistré, download.eternldesktop.network.

Le fichier Eternl.msi de 23,3 mégaoctets contient un outil de gestion à distance LogMeIn Resolve caché, qui établit un accès non autorisé aux systèmes victimes sans que l’utilisateur en ait conscience.

Faux installateur regroupant un cheval de Troie d’accès à distance

L’installateur MSI malveillant transporte un fichier exécutable appelé unattended-updater.exe avec le nom de fichier original. Lors de l’exécution, l’exécutable crée une structure de dossiers sous le répertoire Program Files du système.

L’installateur écrit plusieurs fichiers de configuration, notamment unattended.json, logger.json, mandatory.json et pc.json.

La configuration unattended.json active la fonctionnalité d’accès à distance sans nécessiter d’interaction de l’utilisateur.

L’analyse réseau révèle que le malware se connecte à l’infrastructure GoTo Resolve. L’exécutable transmet des informations d’événements système au format JSON à des serveurs distants en utilisant des identifiants API codés en dur.

Les chercheurs en sécurité classent ce comportement comme critique. Les outils de gestion à distance offrent aux acteurs malveillants des capacités de persistance à long terme, d’exécution de commandes à distance et de collecte de crédentiels une fois installés sur les systèmes victimes.

Les emails de phishing maintiennent un ton professionnel, soigné, avec une grammaire correcte et sans fautes d’orthographe.

L’annonce frauduleuse crée une réplique presque identique de la version officielle d’Eternl Desktop, avec des messages sur la compatibilité avec les portefeuilles matériels, la gestion locale des clés et des contrôles de délégation avancés.

Campagne ciblant les utilisateurs de Cardano

Les attaquants instrumentalisent les récits de gouvernance de la cryptomonnaie et des références spécifiques à l’écosystème pour distribuer des outils d’accès clandestins.

Les références aux récompenses en jetons NIGHT et ATMA via le programme Diffusion Staking Basket donnent une fausse légitimité à la campagne malveillante.

Les utilisateurs de Cardano souhaitant participer au staking ou aux fonctionnalités de gouvernance sont exposés à un risque élevé face à des tactiques d’ingénierie sociale qui imitent les développements légitimes de l’écosystème.

Le domaine récemment enregistré distribue l’installateur sans vérification officielle ni validation de signature numérique.

Les utilisateurs doivent vérifier l’authenticité du logiciel uniquement via des canaux officiels avant de télécharger des applications de portefeuille.

L’analyse de malware d’Anurag a révélé que la tentative d’abus de la chaîne d’approvisionnement visait à établir un accès non autorisé persistant.

L’outil GoTo Resolve donne aux attaquants des capacités de contrôle à distance qui compromettent la sécurité du portefeuille et l’accès aux clés privées.

Les utilisateurs doivent éviter de télécharger des applications de portefeuille depuis des sources non vérifiées ou des domaines récemment enregistrés, même si l’email semble professionnel ou soigné.