Пользователи Cardano подвергаются фишинговой атаке с распространением вредоносного ПО для кошельков

Владельцы Cardano сталкиваются с нарастающей угрозой безопасности, поскольку киберпреступники запускают сложную кампанию фишинговых мошенничеств, выдавая себя за Eternl Desktop wallet. Эта схема сочетает в себе профессионально выглядящие электронные письма, мошеннические криптовалютные стимулы и скрытое вредоносное ПО для компрометации систем пользователей. Исследователи безопасности обнаружили, что жертвы, скачивающие поддельный кошелек, получают вредоносный установщик, содержащий трояны удаленного доступа, предоставляющие злоумышленникам полный контроль над системой без разрешения.

Как работает фишинговая кампания

Атака начинается с убедительных фишинговых писем, имитирующих официальные сообщения Eternl Desktop. Злоумышленники утверждают, что вводят новые функции, такие как улучшенная поддержка стейкинга Cardano и интеграция управления. Мошеннические сообщения предлагают привлекательные стимулы, включая награды в токенах NIGHT и ATMA, создавая ощущение срочности и побуждая пользователей немедленно скачать «обновленный» кошелек.

Письма направляют пользователей на сайт download.eternldesktop.network — недавно зарегистрированный домен, имитирующий официальный сайт Eternl. По словам исследователя угроз Anurag, злоумышленники тщательно скопировали язык и дизайн из настоящих объявлений Eternl, добавляя вымышленные функции, такие как управление локальными ключами и совместимость с аппаратными кошельками. Фишинговая схема выполнена профессионально — письма не содержат орфографических ошибок и используют формальную терминологию, что делает мошенничество правдоподобным для доверчивых пользователей.

Каждое сообщение содержит ссылку для скачивания троянового MSI-установщика. Файл обходят стандартные механизмы проверки безопасности и не имеет действительных цифровых подписей, подтверждающих легитимность. При запуске установщика пользователи непреднамеренно активируют вредоносную нагрузку, встроенную в файл.

Вредоносный установщик поставляет троян удаленного доступа

Зловредный установщик, названный Eternl.msi (хэш файла: 8fa4844e40669c1cb417d7cf923bf3e0), содержит опасный инструмент LogMeIn Resolve. При выполнении он запускает исполняемый файл unattended updater.exe, который на самом деле является компонентом GoToResolveUnattendedUpdater.exe.

Этот исполняемый файл создает постоянство на машине жертвы, создавая каталоги в Program Files и записывая несколько конфигурационных файлов, включая unattended.json и pc.json. Особенно опасен файл unattended.json — он тихо активирует возможности удаленного доступа без ведома или согласия пользователя. После активации зараженная система становится полностью управляемой злоумышленниками.

Анализ сетевого трафика подтверждает, что вредоносное ПО связывается с известной инфраструктурой командования и управления GoToResolve, в частности с устройствами iot.console.gotoresolve.com и dumpster.console.gotoresolve.com. Вредонос передает системную информацию в формате JSON и устанавливает постоянные соединения, позволяя злоумышленникам отдавать команды удаленно. Жертвы не замечают компрометации системы до тех пор, пока злоумышленники не используют полученный доступ.

Сравнение с предыдущими схемами фишинга Meta

Эта атака на кошелек Cardano повторяет схему, использованную в ранее фишинговых мошенничествах, нацеленных на бизнес-пользователей Meta. В той кампании жертвы получали письма с утверждениями о нарушениях их рекламных аккаунтов в ЕС. Сообщения использовали бренд Meta и официальный язык для создания ложной доверительности.

Переход по ссылке перенаправлял пользователей на поддельную страницу Meta Business Manager с срочными предупреждениями о блокировке аккаунта. Пользователям предлагалось ввести учетные данные для «восстановления» доступа. Затем фальшивая служба поддержки направляла жертв через процесс, похожий на восстановление аккаунта, но на самом деле собирала их аутентификационные данные.

Параллельная структура — срочность, имитация, фальшивые целевые страницы и сбор учетных данных — показывает, как злоумышленники используют эффективные методы социальной инженерии для разных целевых аудиторий. Будь то криптовалютные пользователи или бизнес-менеджеры, методология фишинга остается неизменной: создавать ложную легитимность, создавать давление и эксплуатировать доверие пользователей.

Защита от атак имитации кошельков

Эксперты по безопасности и разработчики кошельков призывают пользователей соблюдать меры предосторожности против фишинговых мошенничеств. Всегда скачивайте программное обеспечение кошелька только с официальных сайтов проекта или проверенных магазинов приложений. Новые зарегистрированные домены представляют крайнюю опасность — проверяйте возраст домена и детали SSL-сертификата перед доверием к сайту.

Будьте скептичны к нежелательным письмам, предлагающим обновления кошелька или неожиданные награды в токенах. Официальные проекты кошельков редко распространяют программное обеспечение через фишинговые кампании, а настоящие обновления публикуются через проверенные каналы. Внимательно проверяйте адреса отправителей писем, так как поддельные иногда содержат тонкие замены символов.

Включайте двухфакторную аутентификацию в аккаунтах криптовалютных бирж и важных электронных почтах, связанных с кошельками. Этот дополнительный уровень защиты предотвращает несанкционированный доступ даже при компрометации учетных данных. Обновляйте антивирусное и антивредоносное программное обеспечение для обнаружения известных троянов, таких как вариации LogMeIn Resolve.

Наконец, если вы скачали подозрительные приложения кошелька, немедленно отключите зараженные компьютеры от сети и выполните полное сканирование на вредоносное ПО. Сообщайте о подозрительных фишинговых письмах в команду безопасности легитимного проекта. Поддерживая бдительность и проверяя легитимность на каждом этапе, пользователи Cardano могут значительно снизить риск воздействия этих постоянно развивающихся угроз.