Dompet Cardano dalam ancaman? kampanye phishing mencurigakan muncul

Sebuah kampanye phishing menargetkan pengguna Cardano melalui email palsu yang mempromosikan pengunduhan aplikasi Eternl Desktop palsu.

Serangan ini memanfaatkan pesan yang dirancang secara profesional yang merujuk pada hadiah token NIGHT dan ATMA melalui program Diffusion Staking Basket untuk membangun kredibilitas.

Pemburu ancaman Anurag mengidentifikasi sebuah installer berbahaya yang didistribusikan melalui domain yang baru terdaftar, download.eternldesktop.network.

File Eternl.msi sebesar 23,3 megabyte berisi alat manajemen jarak jauh LogMeIn Resolve yang tersembunyi yang memungkinkan akses tidak sah ke sistem korban tanpa sepengetahuan pengguna.

Fake installer bundel trojan akses jarak jauh

Installer MSI berbahaya ini membawa sebuah file tertentu dan menempatkan sebuah executable bernama unattended-updater.exe dengan nama file asli. Saat dijalankan, executable ini membuat struktur folder di bawah direktori Program Files sistem.

Installer ini menulis beberapa file konfigurasi termasuk unattended.json, logger.json, mandatory.json, dan pc.json.

Konfigurasi unattended.json mengaktifkan fungsi akses jarak jauh tanpa memerlukan interaksi pengguna.

Analisis jaringan mengungkapkan malware ini terhubung ke infrastruktur GoTo Resolve. Executable ini mengirimkan informasi peristiwa sistem dalam format JSON ke server jarak jauh menggunakan kredensial API yang tertanam.

Peneliti keamanan mengklasifikasikan perilaku ini sebagai kritis. Alat manajemen jarak jauh memberi pelaku ancaman kemampuan untuk bertahan jangka panjang, menjalankan perintah jarak jauh, dan mengumpulkan kredensial setelah terpasang di sistem korban.

Email phishing mempertahankan nada yang halus dan profesional dengan tata bahasa yang benar dan tanpa kesalahan ejaan.

Pengumuman palsu ini menciptakan replika yang hampir identik dari rilis resmi Eternl Desktop, lengkap dengan pesan tentang kompatibilitas dompet perangkat keras, pengelolaan kunci lokal, dan kontrol delegasi tingkat lanjut.

Kampanye menargetkan pengguna Cardano

Para penyerang memanfaatkan narasi tata kelola cryptocurrency dan referensi khusus ekosistem untuk menyebarkan alat akses tersembunyi.

Referensi terhadap hadiah token NIGHT dan ATMA melalui program Diffusion Staking Basket memberikan legitimasi palsu pada kampanye berbahaya ini.

Pengguna Cardano yang ingin berpartisipasi dalam fitur staking atau tata kelola menghadapi risiko tinggi dari taktik rekayasa sosial yang meniru perkembangan ekosistem yang sah.

Domain yang baru terdaftar ini mendistribusikan installer tanpa verifikasi resmi atau validasi tanda tangan digital.

Pengguna harus memverifikasi keaslian perangkat lunak secara eksklusif melalui saluran resmi sebelum mengunduh aplikasi dompet.

Analisis malware Anurag mengungkapkan upaya penyalahgunaan rantai pasokan yang bertujuan untuk membangun akses tidak sah yang permanen.

Alat GoTo Resolve memberi penyerang kemampuan kontrol jarak jauh yang dapat mengompromikan keamanan dompet dan akses kunci pribadi.

Pengguna harus menghindari mengunduh aplikasi dompet dari sumber yang tidak diverifikasi atau domain yang baru terdaftar, terlepas dari tampilan email yang profesional atau rapi.