3 Minuty
Phishingová kampaň se vydává za Eternl Desktop
Vylepšená phishingová kampaň aktivně cílí na uživatele Cardano tím, že šíří falešný instalátor Eternl Desktop přes nově registrovanou doménu. Threat hunter Anurag objevil škodlivý balíček hostovaný na download.eternldesktop.network, který se tváří, že poskytuje oficiální software peněženky a stakingové odměny vázané na tokeny NIGHT a ATMA v rámci programu Diffusion Staking Basket.
Jak podvod získává důvěru
Emaily používají profesionální jazyk, bezchybrou gramatiku a sdělení zaměřená na ekosystém — například o governanci a stakingu — aby působily věrohodně. Napodobují oficiální oznámení Eternl, zmiňují kompatibilitu s hardware peněženkami, lokální kontrolu klíčů a pokročilé funkce delegace, aby přesvědčily příjemce stáhnout instalátor.
Technická analýza: škodlivý MSI a nástroj pro vzdálený přístup
Analýza ukazuje, že stažený soubor má velikost 23,3 MB a nese jméno Eternl.msi. V MSI je obsažený spustitelný soubor, který se ukládá jako unattended-updater.exe a nastaví perzistenci v adresáři Program Files. Instalátor zapisuje několik konfiguračních souborů — unattended.json, logger.json, mandatory.json a pc.json — přičemž unattended.json je nakonfigurován tak, aby umožňoval vzdálený přístup bez interakce uživatele.
Zneužití LogMeIn / GoTo Resolve jako RAT
Výzkumníci zjistili, že zabalená komponenta využívá infrastrukturu LogMeIn Resolve (GoTo Resolve). Malware se připojuje k serverům vzdálené správy pomocí pevně vložených API přihlašovacích údajů a přenáší systémové události ve formátu JSON. Jakmile je nasazen, tato schopnost vzdáleného přístupu umožňuje dlouhodobou perzistenci, vzdálené spouštění příkazů, sběr přihlašovacích údajů a potenciální exfiltraci dat peněženek a soukromých klíčů.
Zneužití dodavatelského řetězce a bezpečnostní dopady
Bezpečnostní týmy klasifikují toto chování jako kritické. Tím, že útočníci zabalí nástroj pro vzdálenou správu do instalátoru, který vypadá jako důvěryhodná peněženka, realizují vektor zneužití dodavatelského řetězce, který přímo ohrožuje bezpečnost kryptopeněženek. Držitelé Cardano, kteří instalují software z neověřených zdrojů, riskují odhalení soukromých klíčů a ztrátu kontroly nad svými prostředky.
Indikátory a technické detaily
- Škodlivá doména: download.eternldesktop.network (nově registrována)
- Soubor: Eternl.msi (23.3 MB)
- Uložený spustitelný soubor: unattended-updater.exe
- Konfigurační soubory: unattended.json, logger.json, mandatory.json, pc.json
- Vzdálená správa: LogMeIn Resolve / GoTo Resolve
Zmírnění hrozby: jak by měli reagovat uživatelé a vývojáři Cardano
Uživatelé by měli stahovat software peněženek pouze z oficiálních kanálů: z webu projektu, ověřených GitHub release nebo důvěryhodných obchodů s aplikacemi. Kontrolujte digitální podpisy a poznámky k vydání a vyhýbejte se instalátorům umístěným na nově vytvořených doménách. Hardware peněženky a lokální správa klíčů zůstávají nejbezpečnějšími možnostmi pro ochranu soukromých klíčů. Pokud jste obdrželi podezřelý e-mail, neklikejte na odkazy ani nespouštějte stažené instalátory; místo toho ověřte informaci přes oficiální kanály Eternl a nahlaste zprávu bezpečnostním týmům.
Závěrečná doporučení
S ohledem na použití sociálního inženýrství v kampani — odkazy na odměny za staking v tokenu NIGHT a ATMA — by členové komunity Cardano měli vůči nevyžádaným nabídkám stakingu nebo governance zachovávat zvýšenou skepsi. Organizace by měly auditovat endpoint management nástroje, sledovat neočekávané připojení k infrastruktuře GoTo Resolve a školit uživatele o rizicích phishingu a vektorech útoků zaměřených na dodavatelský řetězec.
Zdroj: crypto
Zanechte komentář