Cardanoユーザーは、Eternl Desktopウォレットチームを偽装した高度なフィッシング作戦を展開するサイバー犯罪者によるセキュリティ危機の深刻化に直面しています。このキャンペーンは、偽の暗号通貨報酬を促す詐欺メールを武器に、攻撃者にシステム完全制御を許すマルウェアを配布しています。これは、Cardano資産を保有またはステーキングしているすべての人にとって重大な脅威であり、ソーシャルエンジニアリング戦術と高度なマルウェア配信メカニズムを組み合わせた攻撃です。## フィッシング攻撃の展開この攻撃は、Eternlの開発チームからの公式通信を装った偽メールから始まります。これらの詐欺メールは、専門的な言葉遣い、洗練されたフォーマット、正当なガバナンス機能を模した内容を用いて信頼性を構築しています。受信者は、限定的なNIGHTおよびATMAトークン報酬の約束に惹かれ、埋め込まれたリンクをクリックする緊急性を人工的に高められます。これらのフィッシングメールは、 unsuspectingユーザーを新規登録されたドメイン:download[dot]eternldesktop[dot]networkへ誘導します。脅威研究者のAnuragは、攻撃者が元のEternl Desktopのアナウンスをほぼ完璧に複製し、ローカルキー管理やハードウェアウォレットの互換性といった偽の機能を追加していることを特定しました。メールにはスペルミスがなく、実際の通信と同じプロフェッショナルなトーンを模倣しており、ユーザーの最初の疑念をかわす意図的な戦略です。## マルウェア配信:偽インストーラー内のトロイの木馬ユーザーが正規のEternlウォレットと信じてダウンロードしたファイルは、Eternl.msi(ファイルハッシュ:8fa4844e40669c1cb417d7cf923bf3e0)という武器化されたMSIインストーラーです。このインストーラーには、LogMeIn Resolveツールがバンドルされており、正当なリモートアクセスユーティリティを悪意ある目的に再利用しています。実行されると、インストーラーはunattended_updater.exe(元の名前はGoToResolveUnattendedUpdater.exe)という実行ファイルを展開します。このコンポーネントは、Program Files内にフォルダ階層を構築し、unattended.jsonやpc.jsonを含む複数の設定ファイルを書き込みます。特に、unattended.json設定ファイルは、ユーザーの同意や認識なしにリモートアクセス機能を有効にします。ネットワークトラフィックの分析により、マルウェアはknownなGoTo Resolveインフラに接続し、具体的にはdevices-iot.console.gotoresolve.comやdumpster.console.gotoresolve.comに通信していることが判明しています。実行ファイルはシステムデータをJSON形式で送信し、持続的なリモート接続を確立して、攻撃者に被害者のコンピュータへのバックドアを提供します。## リモートアクセスはシステム完全乗っ取りを意味するLogMeIn Resolveツールが起動すると、脅威アクターは制限なくコマンドを実行できる権限を得ます。任意のコマンドの実行、機密ファイルへのアクセス、ウォレットソフトウェアの操作、秘密鍵やシードフレーズの抽出などが可能です。マルウェアはユーザーに通知せず静かに動作し、検出は非常に困難です。このフィッシング攻撃は、標準的なOS検証メカニズムを回避し、デジタル署名の検証も欠いているため、悪意あるインストーラーはセキュリティ警告を発さずに実行されます。この技術的な洗練性は、粗雑なフィッシングと区別され、組織的な脅威アクターの関与を示唆しています。## 過去の攻撃例から学ぶ:Metaの前例このCardanoのフィッシングキャンペーンは、数千人の広告主を騙したMetaのビジネス詐欺を彷彿とさせます。以前の攻撃では、ユーザーに対し、広告アカウントがEU規制に違反し、即時停止の危機に瀕していると偽のメールを送信しました。これらのメッセージにはInstagramのブランドや公式の言葉遣いが使われ、権威を装っていました。フィッシングリンクをクリックすると、偽のMeta Business Managerのインターフェースに誘導され、アカウント停止の警告とともに、即座に認証情報を更新するよう促されました。偽のサポートチャットは、「リカバリープロセス」を案内しながら、ログイン情報を収集しました。両者のキャンペーンは、規制の名目、公式ブランド、緊急性を煽る手法、認証情報の窃取といった点で非常に類似しています。## フィッシングとマルウェアの脅威から身を守る方法セキュリティ研究者は、以下の保護策を強調しています。- **公式ソースからのみダウンロード**:ウォレットソフトウェアは、必ずプロジェクトの公式ウェブサイトや検証済みのGitHubリポジトリから直接入手し、メールリンク経由でのダウンロードは避ける- **ドメインの正当性を確認**:URLを注意深く確認し、詐欺師はしばしば正規のドメインと1文字だけ異なるドメインを登録します- **送信者の資格情報を検証**:正当なプロジェクトは、未承諾のメールによるウォレットダウンロードを求めません- **システム保護を有効化**:最新のウイルス対策ソフトを維持し、Windows Defenderを有効にし、ファイアウォールルールを設定する- **デジタル署名を確認**:正当なソフトウェアには有効なデジタル証明書が付与されているため、署名のないファイルは直ちに疑うべきです- **ハードウェアウォレットの利用**:大きな資産を保有している場合は、LedgerやTrezorなどのハードウェアウォレットの使用を検討し、デスクトップマルウェアによる侵害を防ぐ- **疑わしいメールを報告**:フィッシングの試みをウォレットプロジェクトやメールプロバイダーに転送するこのフィッシング作戦の高度な技術と社会工学の組み合わせは、警戒心を持つことの重要性を改めて示しています。洗練された通信や正当な見た目のインターフェースであっても、壊滅的な脅威を隠している可能性があります。Cardanoの採用が拡大するにつれ、サイバー犯罪者の標的も増加し、コミュニティの意識向上とフィッシング戦術やマルウェア配信メカニズムに対する理解が、エコシステムの安全性を守るために不可欠です。
Cardanoコミュニティが攻撃を受ける:最新のフィッシングキャンペーンがウォレットユーザーを標的にしています
最近のフィッシング詐欺の増加により、多くのユーザーが被害に遭っています。攻撃者は偽のウェブサイトやメールを使って、ウォレットの秘密鍵や個人情報を盗もうとしています。これらの詐欺から身を守るために、常に公式の情報源を確認し、不審なリンクや添付ファイルを開かないよう注意してください。
この画像は、偽のウェブサイトのスクリーンショットです。実際のサイトと非常に似ているため、注意が必要です。
### 重要な対策
- 公式のウェブサイトやアプリのみを使用する
- 二段階認証を有効にする
- 不審なメールやリンクをクリックしない
- 定期的にウォレットのセキュリティ設定を見直す
私たちはコミュニティの安全を最優先に考えています。最新の情報とセキュリティ対策については、公式のアナウンスを常に確認してください。
Cardanoユーザーは、Eternl Desktopウォレットチームを偽装した高度なフィッシング作戦を展開するサイバー犯罪者によるセキュリティ危機の深刻化に直面しています。このキャンペーンは、偽の暗号通貨報酬を促す詐欺メールを武器に、攻撃者にシステム完全制御を許すマルウェアを配布しています。これは、Cardano資産を保有またはステーキングしているすべての人にとって重大な脅威であり、ソーシャルエンジニアリング戦術と高度なマルウェア配信メカニズムを組み合わせた攻撃です。
フィッシング攻撃の展開
この攻撃は、Eternlの開発チームからの公式通信を装った偽メールから始まります。これらの詐欺メールは、専門的な言葉遣い、洗練されたフォーマット、正当なガバナンス機能を模した内容を用いて信頼性を構築しています。受信者は、限定的なNIGHTおよびATMAトークン報酬の約束に惹かれ、埋め込まれたリンクをクリックする緊急性を人工的に高められます。
これらのフィッシングメールは、 unsuspectingユーザーを新規登録されたドメイン:download[dot]eternldesktop[dot]networkへ誘導します。脅威研究者のAnuragは、攻撃者が元のEternl Desktopのアナウンスをほぼ完璧に複製し、ローカルキー管理やハードウェアウォレットの互換性といった偽の機能を追加していることを特定しました。メールにはスペルミスがなく、実際の通信と同じプロフェッショナルなトーンを模倣しており、ユーザーの最初の疑念をかわす意図的な戦略です。
マルウェア配信:偽インストーラー内のトロイの木馬
ユーザーが正規のEternlウォレットと信じてダウンロードしたファイルは、Eternl.msi(ファイルハッシュ:8fa4844e40669c1cb417d7cf923bf3e0)という武器化されたMSIインストーラーです。このインストーラーには、LogMeIn Resolveツールがバンドルされており、正当なリモートアクセスユーティリティを悪意ある目的に再利用しています。
実行されると、インストーラーはunattended_updater.exe(元の名前はGoToResolveUnattendedUpdater.exe)という実行ファイルを展開します。このコンポーネントは、Program Files内にフォルダ階層を構築し、unattended.jsonやpc.jsonを含む複数の設定ファイルを書き込みます。特に、unattended.json設定ファイルは、ユーザーの同意や認識なしにリモートアクセス機能を有効にします。
ネットワークトラフィックの分析により、マルウェアはknownなGoTo Resolveインフラに接続し、具体的にはdevices-iot.console.gotoresolve.comやdumpster.console.gotoresolve.comに通信していることが判明しています。実行ファイルはシステムデータをJSON形式で送信し、持続的なリモート接続を確立して、攻撃者に被害者のコンピュータへのバックドアを提供します。
リモートアクセスはシステム完全乗っ取りを意味する
LogMeIn Resolveツールが起動すると、脅威アクターは制限なくコマンドを実行できる権限を得ます。任意のコマンドの実行、機密ファイルへのアクセス、ウォレットソフトウェアの操作、秘密鍵やシードフレーズの抽出などが可能です。マルウェアはユーザーに通知せず静かに動作し、検出は非常に困難です。
このフィッシング攻撃は、標準的なOS検証メカニズムを回避し、デジタル署名の検証も欠いているため、悪意あるインストーラーはセキュリティ警告を発さずに実行されます。この技術的な洗練性は、粗雑なフィッシングと区別され、組織的な脅威アクターの関与を示唆しています。
過去の攻撃例から学ぶ:Metaの前例
このCardanoのフィッシングキャンペーンは、数千人の広告主を騙したMetaのビジネス詐欺を彷彿とさせます。以前の攻撃では、ユーザーに対し、広告アカウントがEU規制に違反し、即時停止の危機に瀕していると偽のメールを送信しました。これらのメッセージにはInstagramのブランドや公式の言葉遣いが使われ、権威を装っていました。
フィッシングリンクをクリックすると、偽のMeta Business Managerのインターフェースに誘導され、アカウント停止の警告とともに、即座に認証情報を更新するよう促されました。偽のサポートチャットは、「リカバリープロセス」を案内しながら、ログイン情報を収集しました。両者のキャンペーンは、規制の名目、公式ブランド、緊急性を煽る手法、認証情報の窃取といった点で非常に類似しています。
フィッシングとマルウェアの脅威から身を守る方法
セキュリティ研究者は、以下の保護策を強調しています。
このフィッシング作戦の高度な技術と社会工学の組み合わせは、警戒心を持つことの重要性を改めて示しています。洗練された通信や正当な見た目のインターフェースであっても、壊滅的な脅威を隠している可能性があります。Cardanoの採用が拡大するにつれ、サイバー犯罪者の標的も増加し、コミュニティの意識向上とフィッシング戦術やマルウェア配信メカニズムに対する理解が、エコシステムの安全性を守るために不可欠です。