Користувачі Cardano постраждали від фішингової шахрайської схеми з підробленим гаманцем Eternl

• Зловмисники поширюють шкідливий інсталятор Eternl.msi з malware GoTo Resolve, що дозволяє віддалений доступ і крадіжку облікових даних.

• Фішингові електронні листи імітують офіційні оголошення Eternl, використовуючи посилання на стейкінг і управління для створення враження легітимності.

• Користувачам потрібно завантажувати гаманці лише з перевірених каналів Eternl, щоб запобігти постійному несанкціонованому доступу та зараженню шкідливим програмним забезпеченням.

Складна фішингова кампанія націлена на користувачів Cardano (ADA) через шахрайські листи, що просувають фальшивий десктоп-гаманець Eternl. Кампанія посилається на легітимні терміни екосистеми, такі як NIGHT і нагороди у токенах ATMA. Експерти з безпеки попереджають користувачів завантажувати програмне забезпечення гаманця лише з перевірених каналів, щоб уникнути malware і несанкціонованого доступу.

Шкідливий інсталятор, замаскований під програмне забезпечення гаманця

Розвідник загроз Anurag виявив шкідливий інсталятор, поширений через неперевірений домен download.eternldesktop.network. Файл Eternl.msi розміром 23,3 МБ містить прихований інструмент віддаленого управління LogMeIn GoTo Resolve.

Під час встановлення він створює виконуваний файл unattended-updater.exe, який розміщує конфігураційні файли у папці Program Files для забезпечення віддаленого доступу без участі користувача. Шкідливе програмне забезпечення підключається до інфраструктури GoTo Resolve, передаючи дані системних подій у форматі JSON, використовуючи зашиті API-ключі.

Дослідники з безпеки класифікували цю активність як критичну, зазначаючи, що інструменти віддаленого управління дозволяють довгострокову стійкість, віддалені команди та крадіжку облікових даних після встановлення.

Кампанія використовує професійні техніки фішингу

Фішингові листи зберігають професійний стиль без орфографічних помилок, тісно імітуючи офіційні оголошення Eternl Desktop. У повідомленнях просуваються функції, такі як сумісність з апаратними гаманцями, локальне управління ключами та розширені налаштування делегування.

Зловмисники використовують управлінські наративи та специфічні для екосистеми посилання, створюючи ілюзію легітимності навколо нагород Diffusion Staking Basket. Експерти попереджають, що кампанія орієнтована на користувачів, які прагнуть брати участь у стейкінгу або управлінських активностях.

Фальшивий інсталятор не має цифрових підписів або підтверджень, що ускладнює користувачам перевірку автентичності перед встановленням. Аналітики наголошують, що нові зареєстровані домени та неофіційні посилання для завантаження є ключовими ознаками попередження.

Ризик постійного несанкціонованого доступу

Аналіз Anurag виявив наміри зловмисників зловживати ланцюгом поставок, що дозволяє їм встановлювати стійкий доступ до систем жертв. Після встановлення шкідливе програмне забезпечення компрометує безпеку гаманця та доступ до приватних ключів. Експерти з безпеки радять завантажувати додатки гаманця лише з офіційних каналів Eternl.

Користувачам рекомендується бути обережними та уникати встановлення програмного забезпечення з неперевірених джерел. Кампанія підкреслює існуючі загрози в екосистемі криптовалют, демонструючи, як зловмисники використовують довірливі оновлення для отримання контролю над пристроями користувачів.