Sukčiavimo kampanija skirta Cardano naudotojams per netikrus el. laiškus, reklamuojančius apgaulingą „Eternl Desktop“ programos atsisiuntimą.
Ataka pasitelkia profesionaliai parengtus pranešimus, nurodančius NIGHT ir ATMA žetonų apdovanojimus per Diffusion Staking Basket programą, kad būtų užtikrintas patikimumas.
Grėsmių ieškotojas Anurag aptiko kenkėjišką diegimo programą, platinamą per naujai registruotą domeną download.eternldesktop.network.
23,3 megabaitų Eternl.msi faile yra paslėptas „LogMeIn Resolve“ nuotolinio valdymo įrankis, kuris sukuria neteisėtą prieigą prie aukų sistemų be vartotojo žinios.
Netikras diegimo programa sujungia nuotolinės prieigos Trojos arklys
Kenkėjiška MSI diegimo programa turi konkretų failą ir atmeta vykdomąjį failą, vadinamą unattended-updater.exe su pradiniu failo pavadinimu. Vykdymo metu vykdomasis failas sukuria aplanko struktūrą sistemos kataloge Program Files.
Diegimo programa įrašo kelis konfigūracijos failus, įskaitant unattended.json, logger.json, mandatory.json ir pc.json.
Unattended.json konfigūracija įgalina nuotolinės prieigos funkcijas, nereikalaujant vartotojo veiksmų.
Tinklo analizė atskleidžia, kad kenkėjiška programa prisijungia prie „GoTo Resolve“ infrastruktūros. Vykdomasis failas perduoda sistemos įvykių informaciją JSON formatu į nuotolinius serverius, naudodamas užkoduotus API kredencialus.
Saugumo tyrinėtojai elgesį klasifikuoja kaip kritinį. Nuotolinio valdymo įrankiai suteikia grėsmės veikėjams ilgalaikio išlikimo, nuotolinio komandų vykdymo ir kredencialų rinkimo galimybes, kai jie įdiegiami nukentėjusiųjų sistemose.
Sukčiavimo el. laiškuose išlaikomas nušlifuotas, profesionalus tonas, tinkama gramatika ir nėra rašybos klaidų.
Dėl apgaulingo pranešimo sukuriama beveik identiška oficialaus Eternl Desktop leidimo kopija su pranešimais apie aparatinės įrangos piniginės suderinamumą, vietinį raktų valdymą ir išplėstinius delegavimo valdiklius.
Kampanija skirta Cardano naudotojams
Užpuolikai naudoja kriptovaliutų valdymo naratyvus ir ekosistemai būdingas nuorodas, kad platintų slaptos prieigos įrankius.
Nuorodos į NIGHT ir ATMA žetonų apdovanojimus per Diffusion Staking Basket programą suteikia klaidingą teisėtumą kenkėjiškai kampanijai.
Cardano naudotojai, norintys dalyvauti statymo ar valdymo funkcijose, susiduria su didele rizika dėl socialinės inžinerijos taktikos, imituojančios teisėtus ekosistemų pokyčius.
Naujai registruotas domenas platina diegimo programą be oficialaus patvirtinimo ar skaitmeninio parašo patvirtinimo.
Prieš atsisiųsdami piniginės programas, vartotojai turėtų patikrinti programinės įrangos autentiškumą tik oficialiais kanalais.
Anurago kenkėjiškų programų analizė atskleidė bandymą piktnaudžiauti tiekimo grandine, kuriuo buvo siekiama nustatyti nuolatinę neteisėtą prieigą.
„GoTo Resolve“ įrankis suteikia užpuolikams nuotolinio valdymo galimybes, kurios kelia pavojų piniginės saugumui ir privataus rakto prieigai.
Naudotojai turėtų vengti atsisiųsti piniginės programų iš nepatvirtintų šaltinių arba naujai registruotų domenų, nepaisant el. pašto polinkio ar profesionalios išvaizdos.
