Пользователи Cardano под угрозой: как фишинг и вредоносное ПО угрожают вашему кошельку

Продвинутая кампания по атакам на пользователей криптовалюты Cardano осуществляется через скоординированные фишинговые и вредоносные рассылки. Киберпреступники маскируются под команду легитимного кошелька Eternl Desktop, используя обманные письма для заманивания жертв и загрузки вредоносного установщика, предоставляющего полный удалённый доступ к системе. Эта многоуровневая угроза сочетает социальную инженерию с передовыми техниками компрометации конечных точек.

Обманная кампания маскируется под Eternl Wallet через мошеннические коммуникации

Злоумышленники запустили скоординированную фишинговую атаку, выдавая себя за сотрудников команды Eternl с помощью профессионально подготовленных писем. Эти поддельные сообщения рекламируют несуществующую версию настольного кошелька, одновременно обещая эксклюзивные криптовалютные награды, в частности токены NIGHT и ATMA. В мошеннических сообщениях подчеркиваются ложные функции, такие как управление локальными ключами и совместимость с аппаратными кошельками — детали, скопированные из официальных объявлений Eternl.

Письма выглядят профессионально, с грамматически правильным текстом и без очевидных орфографических ошибок, что создает ощущение подлинности и повышает вероятность вовлечения пользователя. Получателям предлагают перейти по ссылке на недавно зарегистрированный домен: download(dot)eternldesktop(dot)network. По словам исследователя угроз Анурага, злоумышленники вложили значительные усилия в имитацию стиля официальных коммуникаций и позиционирование продукта, чтобы обойти скептицизм пользователей.

Основная стратегия обмана основана на срочности и стимуле. Обещая награды в токенах и представляя «новую версию кошелька» как эксклюзивную возможность, злоумышленники используют естественное любопытство сообщества Cardano. После перехода по ссылке пользователи сталкиваются с предложением скачать MSI-установщик — точку входа для реальной компрометации.

Механизм доставки вредоносного ПО: Троян удаленного доступа в установщике

Вредоносный установщик, названный Eternl.msi (хэш файла: 8fa4844e40669c1cb417d7cf923bf3e0), содержит встроенную утилиту LogMeIn Resolve. После запуска установщик помещает исполняемый файл с названием “unattended updater.exe” — зашифрованную версию GoToResolveUnattendedUpdater.exe. Этот исполняемый файл и есть фактическая нагрузка вредоносного ПО, ответственная за компрометацию системы.

После установки троян создает определенную структуру папок в Program Files и записывает несколько конфигурационных файлов, включая unattended.json и pc.json. Конфигурация unattended.json активирует возможности удаленного доступа без ведома или согласия пользователя. Это позволяет злоумышленникам установить постоянное соединение с системой жертвы, получая полный контроль над файлами, процессами и сетевыми коммуникациями.

Анализ сетевого трафика показывает, что скомпрометированная система пытается установить соединения с известной инфраструктурой командования и управления GoTo Resolve, а именно с devices-iot.console.gotoresolve.com и dumpster.console.gotoresolve.com. Вредонос передает данные о системе в формате JSON, фактически создавая бэкдор, позволяющий злоумышленникам выполнять произвольные команды и выводить чувствительные данные.

Как распознать признаки до установки

Пользователи могут определить и избежать этой атаки, обратив внимание на несколько предупредительных признаков. Легитимные загрузки кошельков должны происходить только с официальных сайтов проекта или доверенных репозиториев — новые зарегистрированные домены являются немедленным тревожным сигналом. Официальные каналы распространения Eternl не включают нежелательные рассылки с предложениями наград токенами.

Перед установкой рекомендуется проверить подписи файлов и хэш-значения по официальным объявлениям. Наличие неподписанных исполняемых файлов или несоответствие криптографических хэшей указывает на вмешательство. Также легитимное программное обеспечение кошелька не должно требовать повышенных привилегий или создавать скрытые системные каталоги и конфигурационные файлы во время установки.

Рекомендуемые меры безопасности для пользователей Cardano включают: проверку адресов отправителей по официальным спискам контактов, внимательное изучение URL на наличие тонких орфографических ошибок или подозрительных регистраций доменов, избегание загрузки через ссылки в письмах и использование обновленного антивирусного программного обеспечения, способного обнаруживать трояны удаленного доступа, такие как LogMeIn.

Уроки из аналогичных мошенничеств: прецедент Meta

Этот сценарий атаки очень похож на предыдущую фишинговую кампанию, нацеленную на пользователей Meta Business. В том случае жертвы получали письма с утверждениями о блокировке их рекламных аккаунтов из-за нарушений правил ЕС. В сообщениях использовался подлинный бренд Meta и официальный язык для повышения доверия. Пользователи, перейдя по ссылкам, попадали на поддельные страницы входа в Meta Business, где им предлагалось ввести учетные данные. Затем фальшивая служба поддержки направляла жертв через «процесс восстановления», собирая их аутентификационные данные.

Структурное сходство между кампанией Meta и этим нападением на Cardano демонстрирует развитие тактики злоумышленников: маскировка под доверенный бренд, создание искусственной срочности, сбор учетных данных или доставка вредоносного ПО, а также использование доверия пользователей к официальным коммуникациям. Осведомленность о таких методах повышает уровень защиты в криптовалютных и цифровых сообществах в целом.

Исследователи безопасности призывают всех участников экосистемы Cardano сохранять бдительность, проверять источники независимо и сообщать о подозрительных сообщениях в официальные службы безопасности.