Utilizadores da Cardano são alvo numa campanha de phishing com uma carteira de desktop falsa Eternl

Fonte: Yellow Título Original: Usuários de Cardano são alvo em campanha de phishing com falsa carteira de desktop Eternl

Link Original: Uma campanha de phishing dirigida a usuários de Cardano (ADA) tem circulado desde o final de dezembro, distribuindo malware disfarçado como a aplicação de desktop da carteira Eternl.

Investigadores de segurança identificaram o ataque após analisar emails elaborados profissionalmente com o título “Eternl Desktop Is Live - Secure Execution for Atrium & Diffusion Participants.”

As mensagens fraudulentas fazem referência a termos legítimos do ecossistema Cardano, incluindo NIGHT e recompensas do token ATMA através do programa Diffusion Staking Basket.

Os atacantes utilizam o domínio não verificado download.eternldesktop.network para distribuir o instalador malicioso.

O que aconteceu

O caçador de ameaças independente Anurag analisou o arquivo Eternl.msi de 23,3 megabytes e descobriu que contém o software de gestão remota LogMeIn GoTo Resolve.

O instalador faz o download de um executável chamado unattended-updater.exe que cria arquivos de configuração que habilitam o acesso remoto sem interação do usuário.

O malware estabelece conexões com a infraestrutura legítima do GoTo Resolve, permitindo que os atacantes executem comandos e monitorem os sistemas das vítimas.

A análise de rede mostrou que o software envia informações aos atacantes em formato JSON através de servidores remotos.

Os emails não contêm erros ortográficos e utilizam uma linguagem profissional e polida, dificultando a sua distinção de comunicações legítimas.

O instalador não é assinado digitalmente nem possui verificação de checksum, impedindo que os usuários validem sua autenticidade antes da instalação.

Por que é importante

A campanha representa uma tentativa de abuso na cadeia de suprimentos destinada a estabelecer acesso não autorizado e persistente aos sistemas dos usuários de Cardano.

Ferramentas de gestão remota permitem que os atacantes esvaziem carteiras de criptomoedas e roubem credenciais após a instalação nas máquinas das vítimas.

O ataque demonstra como atores de ameaças exploram softwares administrativos legítimos para evitar a detecção por antivírus.

Os investigadores de segurança enfatizaram que os usuários devem baixar aplicações de carteira apenas pelos canais oficiais de comunicação da Eternl.

O domínio recém-registado e a ausência de anúncios oficiais por parte da Eternl serviram como sinais de alerta importantes que passaram despercebidos por alguns usuários.

Campanhas de phishing similares já visaram anteriormente usuários de criptomoedas através de falsas atualizações de software e aplicações de carteira fraudulentas.