Cardano (ADA (ADA)) kullanıcılarını hedef alan bir kimlik avı kampanyası, Aralık ayının sonlarından bu yana, Eternl cüzdanının masaüstü uygulaması kılığına sokulmuş zararlı yazılım dağıtıyor.
Güvenlik araştırmacıları, profesyonelce hazırlanmış ve “Eternl Desktop Is Live - Secure Execution for Atrium & Diffusion Participants.” başlığını taşıyan e-postaları analiz ettikten sonra saldırıyı tespit etti.
Sahte mesajlar, Diffusion Staking Basket programı aracılığıyla NIGHT ve ATMA token ödülleri dâhil olmak üzere Cardano ekosistemine ait meşru terimlere atıfta bulunuyor.
Saldırganlar, zararlı yükleyiciyi dağıtmak için doğrulanmamış download.eternldesktop.network alan adını kullanıyor.
Ne Oldu?
Bağımsız tehdit avcısı Anurag, 23,3 megabayt boyutundaki Eternl.msi dosyasını inceledi ve içinde LogMeIn GoTo Resolve uzaktan yönetim yazılımı bulunduğunu keşfetti.
Yükleyici, unattended-updater.exe adlı bir çalıştırılabilir dosya bırakıyor ve bu dosya, kullanıcı etkileşimi olmadan uzaktan erişimi etkinleştiren yapılandırma dosyaları oluşturuyor.
Zararlı yazılım, saldırganların komut yürütmesine ve kurban sistemlerini izlemesine olanak tanıyan meşru GoTo Resolve altyapısına bağlantılar kuruyor.
Ağ analizi, yazılımın bilgilerı uzak sunucular üzerinden JSON formatında saldırganlara gönderdiğini gösterdi.
E-postalarda yazım hatası bulunmuyor ve özenle seçilmiş profesyonel bir dil kullanılıyor; bu da onları meşru iletişimlerden ayırt etmeyi zorlaştırıyor.
Yükleyiciyle birlikte hiçbir dijital imza veya sağlama toplamı doğrulaması sunulmuyor, bu da kullanıcıların kurulumdan önce özgünlüğü teyit etmesini engelliyor.
Ayrıca bkz.: Crypto Phishing Losses Fall 83% To $84 Million In 2025 Despite Active Drainer Ecosystem
Neden Önemli?
Kampanya, Cardano kullanıcılarının sistemlerine kalıcı ve yetkisiz erişim kurmayı amaçlayan bir tedarik zinciri suistimali girişimini temsil ediyor.
Uzaktan yönetim araçları, kurban makinelerine kurulduktan sonra saldırganların kripto para cüzdanlarını boşaltmasına ve kimlik bilgilerini çalmasına imkân tanıyor.
Saldırı, tehdit aktörlerinin antivirüs tespitini atlatmak için meşru yönetim yazılımlarından nasıl yararlandığını gösteriyor.
Güvenlik araştırmacıları, kullanıcıların cüzdan uygulamalarını yalnızca Eternl’in resmî iletişim kanallarından indirmesi gerektiğini vurguladı.
Yeni kaydedilen alan adı ve Eternl’den resmî bir duyurunun gelmemesi, bazı kullanıcıların fark etmediği temel uyarı işaretleri oldu.
Benzer kimlik avı kampanyaları geçmişte de sahte yazılım güncellemeleri ve sahte cüzdan uygulamaları üzerinden kripto para kullanıcılarını hedef almıştı.
Ayrıca bkz.: Bitcoin Dips Below $90K As Trump Claims Maduro Captured In Venezuela Strike