Gli utenti di Cardano sono attualmente presi di mira da una nuova campagna di phishing sui wallet. Secondo quanto riportato, la sofisticata campagna di phishing sta attualmente circolando all'interno della community, esponendo a rischi significativi gli utenti che intendono scaricare la nuova applicazione Eternl Desktop.
Gli hacker creano email professionali in cui affermano di promuovere una soluzione di portafoglio legittima, progettata per lo staking sicuro di Cardano e la partecipazione alla governance. L'annuncio utilizza termini relativi alle ricompense che gli utenti possono ottenere, tra cui token NIGHT e ATMA, tramite l'attuale programma di giveaway di criptovalute, per creare credibilità e stimolare il coinvolgimento degli utenti.
Gli hacker prendono di mira gli utenti del portafoglio Cardano
Secondo quanto riportato, gli hacker sono riusciti a creare una replica dell'annuncio ufficiale di Eternl Desktop, integrandolo con un messaggio sulla compatibilità con i portafogli hardware, la gestione delle chiavi locali e il controllo avanzato della delega.
L'email ha un tono professionale e curato, con grammatica corretta e nessun errore di ortografia visibile, il che la rende molto efficace nell'ingannare i membri della community di Cardano. Nel frattempo, distribuisce malware a qualsiasi sistema entri.
Secondo quanto riportato, la campagna utilizza un dominio appena registrato, download(dot)eternldesktop(dot)network, per distribuire un pacchetto di installazione dannoso senza la necessità di una verifica ufficiale o di una convalida della firma digitale.
Nell'analisi tecnica dettagliata condotta da Anurag, un cacciatore di minacce e analista di malware indipendente, il file legittimo Eternl.msi contiene uno strumento di gestione remota LogMeIn Resolve nascosto nel suo pacchetto di installazione.
La scoperta ha evidenziato un tentativo di abuso della supply chain volto a stabilire un accesso non autorizzato persistente ai sistemi delle vittime. Il programma di installazione MSI dannoso, con una dimensione di 23,3 megabyte e hash 8fa4844e40669c1cb417d7cf923bf3e0, rilascia un eseguibile chiamato unattended updater.exe, che utilizza il nome file originale GoToResolveUnattendedUpdater.exe.
Durante l'analisi in fase di esecuzione, l'eseguibile crea una struttura di cartelle identificata nei Programmi del sistema.
Una volta creati i file di programma, crea una directory e scrive diverse configurazioni, tra cui unattended.json, logger.json, mandatory.json e pc.json. Il file di configurazione unattended.json abilita la funzionalità di accesso remoto senza la necessità di interazione da parte dell'utente.
L'eseguibile eliminato tenta di stabilire connessioni all'infrastruttura associata ai legittimi servizi GoTo Resolve, tra cui devices-iot.console.gotoresolve.com e dumpster.console.gotoresolve.com.
Il malware fornisce agli hacker l'accesso remoto
Secondo l'analisi di rete, il malware invia informazioni agli hacker in formato JSON. Utilizza anche server remoti per stabilire un canale di comunicazione per l'esecuzione dei comandi e il monitoraggio del sistema.
Gli esperti di sicurezza affermano che questo comportamento è importante perché gli strumenti di gestione remota consentono agli hacker di eseguire comandi remoti e rubare le credenziali una volta che il malware è installato sul sistema della vittima.
La campagna di phishing di Cardano mostra anche come gli hacker utilizzino le criptovalute e il branding di piattaforme legittime per distribuire strumenti infettati da malware. Ciò significa che gli utenti devono verificare l'autenticità del software che utilizzano tramite canali ufficiali. Inoltre, devono evitare di scaricare applicazioni wallet da fonti non verificate o da domini di nuova registrazione, indipendentemente dall'affidabilità delle loro email di distribuzione.
Questa campagna di phishing su Cardano è simile a quella che ha preso di mira i clienti che utilizzavano Meta per la pubblicità l'anno scorso. Gli utenti vengono attirati con email che affermano che i loro annunci sono stati temporaneamente sospesi a causa di violazioni delle norme pubblicitarie e delle normative UE.
I truffatori arrivano persino a farla apparire legittima, aggiungendo il marchio ufficiale di Instagram e un linguaggio ufficiale sulle violazioni delle policy. Tuttavia, un'analisi più attenta ha rivelato che le email provenivano da un dominio diverso.
I ricercatori hanno affermato che, cliccando sul link, gli utenti vengono reindirizzati a una falsa pagina di Meta Business dall'aspetto convincente. Il sito web imita il vero sito di supporto, aprendosi con una pagina che avvisa l'utente che il suo account rischia la chiusura se non interviene immediatamente.
Gli utenti vengono ingannati e indotti a inserire i propri dati di accesso agli annunci negli spazi previsti, mentre l'assistenza clienti li guida con istruzioni dettagliate per ripristinare i loro account.
Vuoi che il tuo progetto venga presentato ai più grandi esperti del settore crypto? Presentalo nel nostro prossimo report di settore, dove i dati incontrano l'impatto.