Cardanoの保有者は、Eternl Desktopウォレットを偽装した高度なフィッシング詐欺キャンペーンにより、セキュリティ脅威が高まっています。この手口は、プロフェッショナルに見えるメール、不正な暗号通貨インセンティブ、隠されたマルウェアを組み合わせて、ユーザーのシステムを危険にさらします。セキュリティ研究者は、偽のウォレットをダウンロードした被害者が、リモートアクセストロイの木馬を含む悪意のあるインストーラーを受け取り、攻撃者が無許可でシステム全体を制御できる状態になることを発見しました。## フィッシング詐欺キャンペーンの仕組み攻撃は、公式のEternl Desktopの連絡を偽装した説得力のあるフィッシングメールから始まります。攻撃者は、Cardanoのステーキングサポートやガバナンス統合の改善などの新機能を導入すると主張します。これらの偽のメッセージは、NIGHTやATMAトークンの報酬など魅力的なインセンティブを提示し、緊急性を煽ってユーザーに「最新」ウォレットの即時ダウンロードを促します。メールは、[download.eternldesktop.network](http://download.eternldesktop.network) という、新規登録されたドメインへのリンクを案内します。このドメインは、正規のEternlのウェブサイトを模倣しています。脅威研究者のAnuragによると、攻撃者は本物のEternlのアナウンスから言語やデザインの要素を綿密にコピーし、ローカルキー管理やハードウェアウォレットの互換性といった架空の機能も追加しています。フィッシング詐欺は、メールにスペルミスがなく、正式な用語を使用しているため、疑わないユーザーには信頼できるものに見えます。各メッセージには、トロイの木馬に感染したMSIインストーラーのダウンロードリンクが含まれています。このファイルは、標準的なセキュリティ検証を回避し、有効なデジタル署名も持たず、正当性を示しません。ユーザーがインストーラーを実行すると、知らず知らずのうちに埋め込まれた悪意のあるペイロードが作動します。## 悪意のあるインストーラーによるリモートアクセストロイの木馬の配信この武器化されたインストーラーは、Eternl.msi(ファイルハッシュ:8fa4844e40669c1cb417d7cf923bf3e0)と呼ばれ、危険なLogMeIn Resolveツールをバンドルしています。実行されると、「unattended updater.exe」という名前の実行ファイルを展開し、実際にはGoToResolveUnattendedUpdater.exeのコンポーネントです。この実行ファイルは、Program Files内にディレクトリを作成し、複数の設定ファイルを書き込みます。特に危険なのは、unattended.jsonファイルです。これは、ユーザーの気付かないうちにリモートアクセス機能を静かに有効化します。有効化されると、感染したシステムは攻撃者によって完全に制御される状態になります。ネットワークトラフィックの解析により、マルウェアは既知のGoToResolveのコマンド&コントロールインフラ(devices-iot.console.gotoresolve.comやdumpster.console.gotoresolve.com)と通信していることが確認されています。マルウェアは、システム情報をJSON形式で送信し、持続的な接続を確立して、脅威アクターがリモートからコマンドを発行できるようにしています。被害者は、攻撃者がアクセスを悪用するまで、自分のシステムが侵害されていることに気付かない場合がほとんどです。## 以前のMetaフィッシング詐欺スキームとの比較このCardanoウォレット攻撃は、以前のMetaビジネスユーザーを狙ったフィッシング詐欺と類似の手口を踏襲しています。そのキャンペーンでは、被害者に対し、広告アカウントがEU規制に違反したとするメールが送られました。これらのメッセージはMetaのブランドと公式の言葉遣いを用いて、偽の信頼性を確立していました。リンクをクリックすると、アカウント停止に関する緊急警告を表示する偽のMetaビジネスマネージャーページに誘導され、ログイン情報の入力を促されました。偽のサポートチャットは、アカウント復旧のための手順を案内しますが、実際には認証情報を盗み取るものでした。このような緊急性、なりすまし、偽のランディングページ、認証情報の窃取といった構造は、攻撃者が異なるターゲット層に対しても効果的なソーシャルエンジニアリング手法を再利用していることを示しています。暗号通貨ユーザーやビジネスマネージャーを問わず、フィッシング詐欺の手口は一貫しています:偽の正当性を確立し、プレッシャーをかけ、ユーザートラストを悪用することです。## ウォレットなりすまし攻撃からの防御策セキュリティ専門家やウォレット開発者は、ユーザーに対しフィッシング詐欺への防御策を推奨しています。常に公式のプロジェクトウェブサイトや認証済みのアプリストアからのみウォレットソフトウェアをダウンロードしてください。新規登録されたドメインは非常に危険です。信頼できる前に、ドメインの年齢やSSL証明書の詳細を確認しましょう。また、ウォレットのアップデートや予期しないトークン報酬を提供する未承諾のメールには注意してください。正規のウォレットプロジェクトは、フィッシングキャンペーンを通じてソフトウェアを配布することはほとんどありません。正規のアップデートは、確立されたチャネルを通じて提供されます。メールの送信者アドレスも注意深く確認し、偽装されたアドレスには微妙な文字の置換が含まれている場合があります。暗号通貨取引所やウォレットにリンクされた重要なメールアカウントには、二要素認証を有効にしてください。これにより、資格情報が漏洩しても不正アクセスを防止できます。最新のウイルス対策ソフトやマルウェア対策ソフトを維持し、LogMeIn Resolveのような既知のトロイの木馬を検出できるようにしましょう。最後に、不審なウォレットアプリケーションをダウンロードした場合は、直ちに影響を受けたコンピュータをネットワークから切断し、徹底的なマルウェアスキャンを実行してください。疑わしいフィッシングメールは、正規のプロジェクトのセキュリティチームに報告しましょう。フィッシング詐欺の手口に対して警戒を怠らず、すべての段階で正当性を確認することで、Cardanoユーザーはこれらの進化する脅威から大きく身を守ることができます。
Cardanoユーザーを狙ったフィッシング詐欺によるウォレットマルウェアの配布に注意してください。
Cardanoの保有者は、Eternl Desktopウォレットを偽装した高度なフィッシング詐欺キャンペーンにより、セキュリティ脅威が高まっています。この手口は、プロフェッショナルに見えるメール、不正な暗号通貨インセンティブ、隠されたマルウェアを組み合わせて、ユーザーのシステムを危険にさらします。セキュリティ研究者は、偽のウォレットをダウンロードした被害者が、リモートアクセストロイの木馬を含む悪意のあるインストーラーを受け取り、攻撃者が無許可でシステム全体を制御できる状態になることを発見しました。
フィッシング詐欺キャンペーンの仕組み
攻撃は、公式のEternl Desktopの連絡を偽装した説得力のあるフィッシングメールから始まります。攻撃者は、Cardanoのステーキングサポートやガバナンス統合の改善などの新機能を導入すると主張します。これらの偽のメッセージは、NIGHTやATMAトークンの報酬など魅力的なインセンティブを提示し、緊急性を煽ってユーザーに「最新」ウォレットの即時ダウンロードを促します。
メールは、download.eternldesktop.network という、新規登録されたドメインへのリンクを案内します。このドメインは、正規のEternlのウェブサイトを模倣しています。脅威研究者のAnuragによると、攻撃者は本物のEternlのアナウンスから言語やデザインの要素を綿密にコピーし、ローカルキー管理やハードウェアウォレットの互換性といった架空の機能も追加しています。フィッシング詐欺は、メールにスペルミスがなく、正式な用語を使用しているため、疑わないユーザーには信頼できるものに見えます。
各メッセージには、トロイの木馬に感染したMSIインストーラーのダウンロードリンクが含まれています。このファイルは、標準的なセキュリティ検証を回避し、有効なデジタル署名も持たず、正当性を示しません。ユーザーがインストーラーを実行すると、知らず知らずのうちに埋め込まれた悪意のあるペイロードが作動します。
悪意のあるインストーラーによるリモートアクセストロイの木馬の配信
この武器化されたインストーラーは、Eternl.msi(ファイルハッシュ:8fa4844e40669c1cb417d7cf923bf3e0)と呼ばれ、危険なLogMeIn Resolveツールをバンドルしています。実行されると、「unattended updater.exe」という名前の実行ファイルを展開し、実際にはGoToResolveUnattendedUpdater.exeのコンポーネントです。
この実行ファイルは、Program Files内にディレクトリを作成し、複数の設定ファイルを書き込みます。特に危険なのは、unattended.jsonファイルです。これは、ユーザーの気付かないうちにリモートアクセス機能を静かに有効化します。有効化されると、感染したシステムは攻撃者によって完全に制御される状態になります。
ネットワークトラフィックの解析により、マルウェアは既知のGoToResolveのコマンド&コントロールインフラ(devices-iot.console.gotoresolve.comやdumpster.console.gotoresolve.com)と通信していることが確認されています。マルウェアは、システム情報をJSON形式で送信し、持続的な接続を確立して、脅威アクターがリモートからコマンドを発行できるようにしています。被害者は、攻撃者がアクセスを悪用するまで、自分のシステムが侵害されていることに気付かない場合がほとんどです。
以前のMetaフィッシング詐欺スキームとの比較
このCardanoウォレット攻撃は、以前のMetaビジネスユーザーを狙ったフィッシング詐欺と類似の手口を踏襲しています。そのキャンペーンでは、被害者に対し、広告アカウントがEU規制に違反したとするメールが送られました。これらのメッセージはMetaのブランドと公式の言葉遣いを用いて、偽の信頼性を確立していました。
リンクをクリックすると、アカウント停止に関する緊急警告を表示する偽のMetaビジネスマネージャーページに誘導され、ログイン情報の入力を促されました。偽のサポートチャットは、アカウント復旧のための手順を案内しますが、実際には認証情報を盗み取るものでした。
このような緊急性、なりすまし、偽のランディングページ、認証情報の窃取といった構造は、攻撃者が異なるターゲット層に対しても効果的なソーシャルエンジニアリング手法を再利用していることを示しています。暗号通貨ユーザーやビジネスマネージャーを問わず、フィッシング詐欺の手口は一貫しています:偽の正当性を確立し、プレッシャーをかけ、ユーザートラストを悪用することです。
ウォレットなりすまし攻撃からの防御策
セキュリティ専門家やウォレット開発者は、ユーザーに対しフィッシング詐欺への防御策を推奨しています。常に公式のプロジェクトウェブサイトや認証済みのアプリストアからのみウォレットソフトウェアをダウンロードしてください。新規登録されたドメインは非常に危険です。信頼できる前に、ドメインの年齢やSSL証明書の詳細を確認しましょう。
また、ウォレットのアップデートや予期しないトークン報酬を提供する未承諾のメールには注意してください。正規のウォレットプロジェクトは、フィッシングキャンペーンを通じてソフトウェアを配布することはほとんどありません。正規のアップデートは、確立されたチャネルを通じて提供されます。メールの送信者アドレスも注意深く確認し、偽装されたアドレスには微妙な文字の置換が含まれている場合があります。
暗号通貨取引所やウォレットにリンクされた重要なメールアカウントには、二要素認証を有効にしてください。これにより、資格情報が漏洩しても不正アクセスを防止できます。最新のウイルス対策ソフトやマルウェア対策ソフトを維持し、LogMeIn Resolveのような既知のトロイの木馬を検出できるようにしましょう。
最後に、不審なウォレットアプリケーションをダウンロードした場合は、直ちに影響を受けたコンピュータをネットワークから切断し、徹底的なマルウェアスキャンを実行してください。疑わしいフィッシングメールは、正規のプロジェクトのセキュリティチームに報告しましょう。フィッシング詐欺の手口に対して警戒を怠らず、すべての段階で正当性を確認することで、Cardanoユーザーはこれらの進化する脅威から大きく身を守ることができます。