Kampanye phishing menargetkan pengguna Cardano melalui email palsu yang mempromosikan unduhan aplikasi Eternl Desktop yang fraudulen.
Serangan ini memanfaatkan pesan yang dibuat secara profesional dengan mereferensikan hadiah token NIGHT dan ATMA melalui program Diffusion Staking Basket untuk membangun kredibilitas.
Pemburu ancaman Anurag mengidentifikasi installer berbahaya yang didistribusikan melalui domain yang baru terdaftar, download.eternldesktop.network.
File Eternl.msi berukuran 23,3 megabyte berisi alat manajemen jarak jauh LogMeIn Resolve tersembunyi yang membuat akses tidak sah ke sistem korban tanpa sepengetahuan pengguna.
Installer palsu membawa trojan akses jarak jauh
Installer MSI berbahaya membawa spesifik dan menjatuhkan file executable bernama unattended-updater.exe dengan nama file aslinya. Selama runtime, executable membuat struktur folder di bawah direktori Program Files sistem.
Installer menulis beberapa file konfigurasi termasuk unattended.json, logger.json, mandatory.json, dan pc.json.
Konfigurasi unattended.json mengaktifkan fungsi akses jarak jauh tanpa memerlukan interaksi pengguna.
Analisis jaringan mengungkapkan malware terhubung ke infrastruktur GoTo Resolve. Executable mengirimkan informasi kejadian sistem dalam format JSON ke server jarak jauh menggunakan kredensial API yang di-hardcode.
Peneliti keamanan mengklasifikasikan perilaku ini sebagai kritis. Alat manajemen jarak jauh memberikan pelaku ancaman kemampuan untuk persistensi jangka panjang, eksekusi perintah jarak jauh, dan pengambilan kredensial setelah dipasang pada sistem korban.
Email phishing mempertahankan nada yang profesional dan rapi dengan tata bahasa yang tepat dan tanpa kesalahan ejaan.
Pengumuman palsu menciptakan replika yang hampir identik dari rilis resmi Eternl Desktop, lengkap dengan pesan tentang kompatibilitas hardware wallet, manajemen kunci lokal, dan kontrol delegasi lanjutan.
Kampanye menargetkan pengguna Cardano
Penyerang mempersenjatai narasi tata kelola cryptocurrency dan referensi spesifik ekosistem untuk mendistribusikan alat akses tersembunyi.
Referensi ke hadiah token NIGHT dan ATMA melalui program Diffusion Staking Basket memberikan legitimasi palsu pada kampanye berbahaya ini.
Pengguna Cardano yang ingin berpartisipasi dalam fitur staking atau tata kelola menghadapi risiko tinggi dari taktik rekayasa sosial yang meniru perkembangan ekosistem yang sah.
Domain yang baru terdaftar mendistribusikan installer tanpa verifikasi resmi atau validasi tanda tangan digital.
Pengguna harus memverifikasi keaslian perangkat lunak secara eksklusif melalui saluran resmi sebelum mengunduh aplikasi wallet.
Analisis malware Anurag mengungkapkan upaya penyalahgunaan rantai pasokan yang ditujukan untuk membangun akses tidak sah yang persisten.
Alat GoTo Resolve memberikan penyerang kemampuan kontrol jarak jauh yang membahayakan keamanan wallet dan akses kunci pribadi.
Pengguna harus menghindari mengunduh aplikasi wallet dari sumber yang tidak terverifikasi atau domain yang baru terdaftar terlepas dari kerapian email atau penampilan profesional.
Sumber: https://crypto.news/cardano-wallets-under-threat-phishing-campaign/
