Спільнота Cardano під атакою: остання фішинг-кампанія спрямована на користувачів гаманців

Користувачі Cardano стикаються з зростаючою кризою безпеки, оскільки кіберзлочинці запускають складну фішингову операцію, що імітує команду гаманця Eternl Desktop. Кампанія використовує фальшиві електронні листи з метою просування підроблених криптовалютних нагород для розповсюдження шкідливого програмного забезпечення, здатного надати зловмисникам повний контроль над системою. Це становить критичну загрозу для всіх, хто тримає або ставить на кон активи Cardano, оскільки атака поєднує тактики соціальної інженерії з передовими механізмами доставки шкідливого ПЗ.

Як розгортається фішингова атака

Атака починається з оманливих листів, що маскуються під офіційні повідомлення від команди розробників Eternl. Ці фальшиві повідомлення використовують професійну мову, відполірований формат і легітимно звучачі функції управління для створення довіри. Одержувачів залучають обіцянки ексклюзивних нагород у NIGHT та ATMA токенах, створюючи штучну терміновість для натискання на вбудовані посилання.

Фішингові листи спрямовують недосвідчених користувачів на новостворений домен: download[dot]eternldesktop[dot]network. Дослідник загроз Anurag виявив, що зловмисники майже ідеально відтворили оригінальне оголошення Eternl Desktop, додавши сфабриковані функції, такі як локальне управління ключами та сумісність з апаратними гаманцями. Листи не містять орфографічних помилок і імітують професійний тон справжніх повідомлень — свідомий спосіб обійти початковий скептицизм користувачів.

Доставка шкідливого ПЗ: Троян у фальшивому інсталяторі

Коли користувачі завантажують те, що вони вважають легітимним гаманцем Eternl, вони неусвідомлено запускають зловмисний MSI-інсталятор під назвою Eternl.msi (хеш файлу: 8fa4844e40669c1cb417d7cf923bf3e0). Цей інсталятор містить у комплекті інструмент LogMeIn Resolve — легітимний віддалений доступ, перепрофільований для зловмисних цілей.

Після запуску інсталятор розгортає виконуваний файл unattended_updater.exe (спочатку названий GoToResolveUnattendedUpdater.exe). Цей компонент створює ієрархію папок у Program Files і записує кілька конфігураційних файлів, зокрема unattended.json і pc.json. Важливо, що файл unattended.json дозволяє віддалений доступ без згоди або відома користувача.

Аналіз мережевого трафіку показує, що шкідливе ПЗ підключається до відомої інфраструктури GoTo Resolve, зокрема до devices-iot.console.gotoresolve.com і dumpster.console.gotoresolve.com. Виконуваний файл передає системні дані у форматі JSON і встановлює постійні віддалені з’єднання, фактично відкриваючи зловмисникам «задній хід» у комп’ютері жертви.

Віддалений доступ — повне компрометування системи

Після активації інструменту LogMeIn Resolve зловмисники отримують необмежені можливості виконання команд. Вони можуть запускати довільні команди, отримувати доступ до конфіденційних файлів, маніпулювати програмним забезпеченням гаманця або витягати приватні ключі та фрази seed. Шкідливе ПЗ працює тихо, без повідомлень користувача, що ускладнює його виявлення для середнього користувача.

Фішингова атака обходить стандартні механізми перевірки операційної системи і не має цифрового підпису — що дозволяє зловмисному інсталятору запускатися без попереджень безпеки. Ця технічна складність відрізняє її від грубих фішингових спроб і свідчить про участь організованих зловмисників.

Вивчення минулих атак: прецедент Meta

Ця фішингова кампанія Cardano нагадує задокументовану шахрайську схему Meta, яка ошукала тисячі рекламодавців. У тій атаці користувачі отримували листи з повідомленнями, що їхні рекламні акаунти порушують регуляції ЄС і незабаром будуть заблоковані. У повідомленнях використовувалися брендинг Instagram і офіційно звучачий стиль, щоб створити враження авторитету.

Клік по фішинговому посиланню перенаправляв жертв на підроблений інтерфейс Meta Business Manager. Фальшива сторінка попереджала про блокування акаунту, якщо користувачі негайно не оновлять свої дані. Потім шахрайський чат підтримки керував процесом «відновлення», збираючи логін і паролі. Спільні риси очевидні: обидві кампанії використовують приводи, пов’язані з регуляторними вимогами, офіційним брендингом, терміновістю та збором облікових даних.

Як захиститися від фішингу та шкідливого ПЗ

Дослідники безпеки наголошують на кількох заходах захисту:

• Завантажуйте лише з офіційних джерел: завжди отримуйте програмне забезпечення гаманця безпосередньо з офіційного сайту проекту або перевірених репозиторіїв GitHub, ніколи не через посилання в листах
• Перевіряйте автентичність домену: уважно перевіряйте URL — шахраї часто реєструють домени, що відрізняються від легітимних лише однією літерою
• Перевіряйте дані відправника: легітимні проекти ніколи не запитують завантаження гаманця через непрохані листи
• Увімкніть системні захисти: підтримуйте оновлений антивірус, увімкніть Windows Defender і налаштуйте правила брандмауера
• Перевіряйте цифрові підписи: легітимне програмне забезпечення має дійсні цифрові сертифікати; файли без підписів слід одразу вважати підозрілими
• Використовуйте апаратні гаманці: для значних активів розгляньте можливість використання апаратних гаманців, таких як Ledger або Trezor, які не можна зламати через десктопне шкідливе ПЗ
• Повідомляйте про підозрілі листи: пересилайте фішингові спроби до проектів гаманців і вашого поштового провайдера

Складність цієї фішингової операції — поєднання технічної майстерності з психологією соціальної інженерії — підкреслює, чому пильність залишається критичною. Навіть відполіровані повідомлення і легітимно виглядаючі інтерфейси можуть приховувати руйнівні загрози. З розширенням прийняття Cardano зростає і його привабливість для кіберзлочинців, тому обізнаність спільноти щодо тактик фішингу і механізмів доставки шкідливого ПЗ є важливою для безпеки екосистеми.