Користувачі Cardano під цілеспрямованою атакою фішингу, що поширює шкідливе програмне забезпечення для гаманців

Власники Cardano стикаються з зростаючою загрозою безпеці, оскільки кіберзлочинці запускають складну кампанію фішингових шахрайств, що імітує гаманці Eternl Desktop. Ця схема поєднує професійно виглядаючі електронні листи, фальшиві криптовалютні заохочення та приховане шкідливе програмне забезпечення для компрометації систем користувачів. Дослідники безпеки виявили, що жертви, які завантажують підроблений гаманець, отримують зловмисний інсталятор, що містить трояни для віддаленого доступу, що дає зловмисникам повний контроль над системою без дозволу.

Як працює кампанія фішингового шахрайства

Атака починається з переконливих фішингових листів, що імітують офіційні повідомлення Eternl Desktop. Зловмисники стверджують, що вводять нові функції, такі як покращена підтримка стейкінгу Cardano та інтеграція управління. Фальшиві повідомлення пропонують привабливі заохочення, включаючи нагороди у токенах NIGHT та ATMA, створюючи відчуття терміновості та заохочуючи користувачів негайно завантажити “оновлений” гаманець.

Листи спрямовують користувачів на сайт download.eternldesktop.network, новостворений домен, що імітує легітимний сайт Eternl. За словами дослідника загроз Anurag, зловмисники ретельно копіювали мову та дизайн елементів з офіційних оголошень Eternl, додаючи вигадані функції, такі як управління локальним ключем і сумісність з апаратними гаманцями. Фішингова схема демонструє професійне виконання — листи не містять орфографічних помилок і використовують офіційну термінологію, що робить шахрайство правдоподібним для необізнаних користувачів.

Кожне повідомлення містить посилання для завантаження файлу інсталятора MSI з трояном. Файл обходить стандартні механізми перевірки безпеки і не має дійсних цифрових підписів, що підтверджують легітимність. При запуску інсталятора користувачі неусвідомлено активують зловмисне навантаження, вбудоване у файл.

Зловмисний інсталятор доставляє троян віддаленого доступу

Зловмисний інсталятор, названий Eternl.msi (хеш файлу: 8fa4844e40669c1cb417d7cf923bf3e0), містить небезпечний інструмент LogMeIn Resolve. При запуску інсталятор розгортає виконуваний файл під назвою unattended updater.exe, який фактично є компонентом GoToResolveUnattendedUpdater.exe.

Цей виконуваний файл встановлює стійкість на машині жертви, створюючи каталоги у Program Files і записуючи кілька конфігураційних файлів, зокрема unattended.json і pc.json. Особливо небезпечний файл unattended.json — він мовчки активує можливості віддаленого доступу без відома або згоди користувача. Після активації інфікована система стає повністю контрольованою зловмисниками.

Аналіз мережевого трафіку підтверджує, що зловмисне програмне забезпечення спілкується з відомою інфраструктурою командування і контролю GoToResolve, зокрема з пристроями iot.console.gotoresolve.com і dumpster.console.gotoresolve.com. Зловмисне ПЗ передає системну інформацію у форматі JSON і встановлює постійні з’єднання, що дозволяє зловмисникам видавати команди віддалено. Жертви не мають ознак компрометації системи, доки зловмисники не скористаються цим доступом.

Порівняння з попередніми схемами фішингових шахрайств Meta

Ця атака на гаманець Cardano слідує подібній схемі, що використовувалася у попередніх фішингових шахрайствах, спрямованих на користувачів бізнесу Meta. У тій кампанії жертви отримували листи з повідомленнями, що їх рекламні акаунти порушили регуляції ЄС. Повідомлення містили бренд Meta та офіційну мову, щоб створити хибну довіру.

Клік по посиланню перенаправляв користувачів на підроблену сторінку Meta Business Manager з терміновими попередженнями про блокування акаунту. Користувачі вводили свої облікові дані для “відновлення” доступу. Потім фальшивий чат підтримки направляв жертв через процес нібито відновлення акаунту, але насправді збирав їхні дані для авторизації.

Паралельна структура — терміновість, імітація, фальшиві цільові сторінки та збір облікових даних — показує, як зловмисники повторно використовують ефективні соціальні інженерні тактики для різних аудиторій. Чи то криптовалютні користувачі, чи бізнес-менеджери, методологія фішингових шахрайств залишається послідовною: створити хибну легітимність, створити тиск і використати довіру користувача.

Як захиститися від атак імітації гаманця

Експерти з безпеки та розробники гаманців закликають користувачів дотримуватися захисних заходів проти фішингових шахрайств. Завжди завантажуйте програмне забезпечення гаманця лише з офіційних сайтів проекту або перевірених магазинів додатків. Новостворені домени несуть високий ризик — перевіряйте вік домену та деталі SSL-сертифіката перед довірою сайту.

Будьте скептичні до непрошених листів, що пропонують оновлення гаманця або обіцяють несподівані токенові нагороди. Легітимні проекти гаманців рідко поширюють програмне забезпечення через фішингові кампанії, а справжні оновлення з’являються через встановлені канали. Уважно перевіряйте адреси відправників листів, оскільки підроблені адреси іноді містять тонкі заміни символів.

Увімкніть двофакторну автентифікацію для облікових записів криптовалютних бірж та важливих електронних поштових скриньок, пов’язаних із гаманцями. Це додатковий рівень захисту від несанкціонованого доступу навіть у разі компрометації облікових даних. Підтримуйте актуальне антивірусне та антивірусне програмне забезпечення для виявлення відомих троянів, таких як варіанти LogMeIn Resolve.

Нарешті, якщо ви завантажили будь-яке підозріле програмне забезпечення гаманця, негайно відключіть уражені комп’ютери від мережі та виконайте повне сканування на шкідливе ПЗ. Повідомляйте команду безпеки легітимного проекту про підозрілі фішингові листи. Підвищуючи обізнаність щодо технік фішингових шахрайств і перевіряючи легітимність на кожному кроці, користувачі Cardano можуть значно зменшити свою уразливість до цих зростаючих загроз.