Eine Phishing-Kampagne zielt auf Cardano-Nutzer ab, indem gefälschte E-Mails einen betrügerischen Download der Eternl Desktop-Anwendung bewerben.
Der Angriff nutzt professionell gestaltete Nachrichten, die auf NIGHT- und ATMA-Token-Belohnungen durch das Diffusion Staking Basket-Programm verweisen, um Glaubwürdigkeit zu etablieren.
Bedrohungsjäger Anurag identifizierte einen bösartigen Installer, der über eine neu registrierte Domain verteilt wird: download.eternldesktop.network.
Die 23,3 Megabyte große Eternl.msi-Datei enthält ein verstecktes LogMeIn Resolve Remote-Management-Tool, das unbefugten Zugriff auf Opfersysteme herstellt, ohne dass die Nutzer davon wissen.
Gefälschter Installer bündelt Remote-Access-Trojaner
Der bösartige MSI-Installer enthält eine bestimmte Datei und legt eine ausführbare Datei namens unattended-updater.exe mit dem ursprünglichen Dateinamen ab. Während der Laufzeit erstellt die ausführbare Datei eine Ordnerstruktur im Programme-Verzeichnis des Systems.
Der Installer schreibt mehrere Konfigurationsdateien, darunter unattended.json, logger.json, mandatory.json und pc.json.
Die unattended.json-Konfiguration ermöglicht Remote-Zugriffsfunktionalität ohne Benutzerinteraktion.
Die Netzwerkanalyse zeigt, dass die Malware sich mit der GoTo Resolve-Infrastruktur verbindet. Die ausführbare Datei überträgt Systemereignisinformationen im JSON-Format an Remote-Server unter Verwendung fest codierter API-Zugangsdaten.
Sicherheitsforscher stufen das Verhalten als kritisch ein. Remote-Management-Tools bieten Bedrohungsakteuren Funktionen für langfristige Persistenz, Remote-Befehlsausführung und Credential-Harvesting, sobald sie auf Opfersystemen installiert sind.
Die Phishing-E-Mails bewahren einen gepflegten, professionellen Ton mit korrekter Grammatik und ohne Rechtschreibfehler.
Die betrügerische Ankündigung erstellt eine nahezu identische Kopie der offiziellen Eternl Desktop-Veröffentlichung, komplett mit Informationen über Hardware-Wallet-Kompatibilität, lokale Schlüsselverwaltung und erweiterte Delegationskontrollen.
Kampagne zielt auf Cardano-Nutzer ab
Die Angreifer instrumentalisieren Kryptowährungs-Governance-Narrative und ökosystemspezifische Referenzen, um verdeckte Zugriffstools zu verteilen.
Verweise auf NIGHT- und ATMA-Token-Belohnungen durch das Diffusion Staking Basket-Programm verleihen der bösartigen Kampagne falsche Legitimität.
Cardano-Nutzer, die an Staking- oder Governance-Funktionen teilnehmen möchten, sind einem hohen Risiko durch Social-Engineering-Taktiken ausgesetzt, die legitime Ökosystementwicklungen nachahmen.
Die neu registrierte Domain verteilt den Installer ohne offizielle Verifizierung oder digitale Signaturvalidierung.
Nutzer sollten die Software-Authentizität ausschließlich über offizielle Kanäle verifizieren, bevor sie Wallet-Anwendungen herunterladen.
Anurags Malware-Analyse enthüllte den Supply-Chain-Missbrauchsversuch, der darauf abzielte, persistenten unbefugten Zugriff zu etablieren.
Das GoTo Resolve-Tool bietet Angreifern Fernsteuerungsfunktionen, die die Wallet-Sicherheit und den Zugriff auf private Schlüssel kompromittieren.
Nutzer sollten das Herunterladen von Wallet-Anwendungen aus nicht verifizierten Quellen oder neu registrierten Domains vermeiden, unabhängig von der gepflegten oder professionellen Erscheinung der E-Mail.
Quelle: https://crypto.news/cardano-wallets-under-threat-phishing-campaign/
