De faux e-mails ciblent les utilisateurs de Cardano avec des logiciels malveillants d'accès à distance - La Crypto Monnaie

Une campagne de phishing cible les utilisateurs de Cardano via de faux e-mails faisant la promotion d'un téléchargement frauduleux de l'application Eternl Desktop.

L'attaque exploite des messages rédigés par des professionnels faisant référence aux récompenses de jetons NIGHT et ATMA via le programme Diffusion Staking Basket pour établir la crédibilité.

Le chasseur de menaces Anurag a identifié un programme d'installation malveillant distribué via un domaine nouvellement enregistré, download.eternldesktop.network.

Le fichier Eternl.msi de 23,3 Mo contient un outil de gestion à distance caché LogMeIn Resolve qui établit un accès non autorisé aux systèmes victimes à l'insu de l'utilisateur.

Un faux programme d'installation regroupe un cheval de Troie d'accès à distance

Le programme d'installation MSI malveillant contient un exécutable spécifique et supprime un appelé unattended-updater.exe avec le nom de fichier d'origine. Pendant l'exécution, l'exécutable crée une structure de dossiers sous le répertoire Program Files du système.

Le programme d'installation écrit plusieurs fichiers de configuration, notamment unattended.json, logger.json, obligatoire.json et pc.json.

La configuration unattended.json active la fonctionnalité d'accès à distance sans nécessiter d'interaction de l'utilisateur.

L'analyse du réseau révèle que le malware se connecte à l'infrastructure GoTo Resolve. L'exécutable transmet les informations sur les événements système au format JSON aux serveurs distants à l'aide d'informations d'identification API codées en dur.

Les chercheurs en sécurité classent ce comportement comme critique. Les outils de gestion à distance offrent aux acteurs malveillants des capacités de persistance à long terme, d'exécution de commandes à distance et de collecte d'informations d'identification une fois installés sur les systèmes victimes.

Les e-mails de phishing conservent un ton soigné et professionnel avec une grammaire appropriée et aucune faute d’orthographe.

L'annonce frauduleuse crée une réplique presque identique de la version officielle d'Eternl Desktop, complétée par des messages sur la compatibilité du portefeuille matériel, la gestion des clés locales et les contrôles de délégation avancés.

La campagne cible les utilisateurs de Cardano

Les attaquants utilisent les récits de gouvernance des cryptomonnaies et les références spécifiques à l’écosystème pour distribuer des outils d’accès secrets.

Les références aux récompenses de jetons NIGHT et ATMA via le programme Diffusion Staking Basket confèrent une fausse légitimité à la campagne malveillante.

Les utilisateurs de Cardano cherchant à participer à des fonctionnalités de jalonnement ou de gouvernance sont confrontés à des risques élevés liés aux tactiques d'ingénierie sociale qui imitent les développements légitimes de l'écosystème.

Le domaine nouvellement enregistré distribue le programme d'installation sans vérification officielle ni validation de signature numérique.

Les utilisateurs doivent vérifier l'authenticité du logiciel exclusivement via les canaux officiels avant de télécharger des applications de portefeuille.

L'analyse des logiciels malveillants d'Anurag a révélé une tentative d'abus de la chaîne d'approvisionnement visant à établir un accès non autorisé persistant.

L'outil GoTo Resolve offre aux attaquants des capacités de contrôle à distance qui compromettent la sécurité du portefeuille et l'accès aux clés privées.

Les utilisateurs doivent éviter de télécharger des applications de portefeuille à partir de sources non vérifiées ou de domaines nouvellement enregistrés, quelle que soit la qualité de leur courrier électronique ou leur apparence professionnelle.