Фішингова кампанія, націлена на користувачів Cardano (ADA), циркулює з кінця грудня, розповсюджуючи шкідливе ПЗ, замасковане під настільний застосунок гаманця Eternl.
Дослідники безпеки виявили атаку після аналізу професійно оформлених електронних листів із темою «Eternl Desktop Is Live - Secure Execution for Atrium & Diffusion Participants».
Шахрайські повідомлення посилаються на легітимні терміни екосистеми Cardano, зокрема NIGHT та винагороди токенами ATMA через програму Diffusion Staking Basket.
Зловмисники використовують неперевірений домен download.eternldesktop.network для розповсюдження шкідливого інсталятора.
Що сталося
Незалежний мисливець за загрозами Anurag проаналізував 23,3‑мегабайтний файл Eternl.msi і виявив, що він містить програмне забезпечення віддаленого керування LogMeIn GoTo Resolve.
Інсталятор розгортає виконуваний файл під назвою unattended-updater.exe, який створює конфігураційні файли, що дають змогу віддаленого доступу без взаємодії з користувачем.
Шкідливе ПЗ встановлює з’єднання з легітною інфраструктурою GoTo Resolve, дозволяючи зловмисникам виконувати команди та стежити за системами жертв.
Мережевий аналіз показав, що програмне забезпечення надсилає інформацію зловмисникам у форматі JSON через віддалені сервери.
Листи не містять орфографічних помилок і написані вичищеною професійною мовою, що ускладнює їх відрізнення від легітимних повідомлень.
Інсталятор не супроводжується цифровим підписом або перевірочними сумами, що позбавляє користувачів можливості перевірити автентичність перед установленням.
Читайте також: Crypto Phishing Losses Fall 83% To $84 Million In 2025 Despite Active Drainer Ecosystem
Чому це важливо
Кампанія є спробою зловживання ланцюгом постачання з метою встановлення стійкого несанкціонованого доступу до систем користувачів Cardano.
Інструменти віддаленого керування дають змогу зловмисникам, після їх встановлення на комп’ютери жертв, вичищати криптогаманці та викрадати облікові дані.
Атака демонструє, як зловмисники використовують легітимне адміністративне програмне забезпечення для обходу антивірусного виявлення.
Дослідники безпеки наголосили, що користувачі мають завантажувати застосунки гаманців лише з офіційних комунікаційних каналів Eternl.
Нещодавно зареєстрований домен і відсутність офіційних оголошень від Eternl стали ключовими попереджувальними ознаками, які деякі користувачі проігнорували.
Подібні фішингові кампанії раніше вже націлювалися на користувачів криптовалют через фейкові оновлення програм та шахрайські застосунки-гаманці.
Читайте також: Bitcoin Dips Below $90K As Trump Claims Maduro Captured In Venezuela Strike