Користувачі Cardano під атакою: як фішинг та шкідливе програмне забезпечення загрожують вашому гаманцю

Розумна кампанія атаки спрямована на користувачів криптовалюти Cardano через скоординовані фішингові атаки та поширення шкідливого програмного забезпечення. Кіберзлочинці видають себе за легітимну команду гаманця Eternl Desktop, використовуючи обманливі електронні листи для залучення жертв до завантаження шкідливого інсталятора, який надає повний віддалений доступ до системи. Ця багатошарова загроза поєднує соціальну інженерію з передовими техніками компрометації кінцевих точок.

Обманна кампанія видає себе за Eternl Wallet через шахрайські повідомлення

Зловмисники розпочали скоординовану фішингову операцію, видаючи себе за членів команди Eternl за допомогою професійно створених електронних листів. Ці фальшиві повідомлення пропонують неіснуючу версію десктопного гаманця, стверджуючи, що він надає ексклюзивні криптовалютні нагороди, зокрема NIGHT та ATMA токени. У шахрайських повідомленнях підкреслюються неправдиві функції, такі як управління локальними ключами та сумісність з апаратними гаманцями — деталі, скопійовані з офіційних оголошень Eternl.

Листи мають професійний вигляд із граматично правильною мовою та без очевидних орфографічних помилок, що створює враження автентичності та підвищує ймовірність залучення користувачів. Отримувачам пропонується натиснути на посилання, що веде до новоствореного домену: download(dot)eternldesktop(dot)network. За словами дослідника загроз Anurag, зловмисники доклали значних зусиль, щоб імітувати офіційний стиль комунікацій та позиціонування продукту, щоб обійти скептицизм користувачів.

Основна стратегія обману базується на терміновості та стимулі. Обіцяючи нагороди у токенах і представляючи “нову версію гаманця” як ексклюзивну можливість, зловмисники використовують природну цікавість спільноти Cardano. Після натискання користувачі потрапляють до підказок для завантаження MSI-інсталятора — входу до справжньої компрометації.

Механізм доставки шкідливого ПЗ: Троян віддаленого доступу прихований в інсталяторі

Шкідливий інсталятор, названий Eternl.msi (хеш файлу: 8fa4844e40669c1cb417d7cf923bf3e0), містить у собі пакет утиліти LogMeIn Resolve. Після запуску інсталятор створює виконуваний файл під назвою “unattended updater.exe” — зашифровану версію GoToResolveUnattendedUpdater.exe. Цей виконуваний файл є фактичним шкідливим навантаженням, відповідальним за компрометацію системи.

Після встановлення троян створює специфічну структуру папок у Program Files і записує кілька конфігураційних файлів, зокрема unattended.json та pc.json. Конфігурація unattended.json активує можливості віддаленого доступу без відома або згоди користувача. Це дозволяє зловмисникам встановлювати постійне з’єднання з системою жертви, отримуючи повний контроль над файлами, процесами та мережею.

Аналіз мережевого трафіку показує, що зламаний комп’ютер намагається встановити з’єднання з відомими інфраструктурами командування та контролю GoTo Resolve, зокрема devices-iot.console.gotoresolve.com та dumpster.console.gotoresolve.com. Шкідливе ПЗ передає дані про перерахунок системи у форматі JSON, фактично створюючи бекдор, що дозволяє зловмисникам виконувати довільні команди та викрадати чутливі дані.

Як розпізнати ознаки перед інсталяцією

Користувачі можуть визначити та уникнути цієї атаки, звертаючи увагу на кілька попереджувальних ознак. Легітимне завантаження гаманця має відбуватися лише з офіційних сайтів проекту або довірених репозиторіїв — новостворені домени є негайним сигналом тривоги. Офіційні канали розповсюдження Eternl не включають непрошені кампанії з електронною поштою, що пропонують токенні нагороди.

Перед інсталяцією користувачам слід перевірити підпис файлу та хеш-значення відповідно до офіційних оголошень. Наявність підписаних або підроблених виконуваних файлів із невідповідними криптографічними хешами свідчить про підробку. Крім того, легітимне програмне забезпечення гаманця не повинно вимагати підвищених привілеїв або створювати приховані системні каталоги та конфігураційні файли під час інсталяції.

Найкращі практики безпеки для користувачів Cardano включають: перевірку адреси відправника електронної пошти з офіційними контактами, уважний огляд URL-адрес на предмет тонких орфографічних помилок або підозрілих доменних реєстрацій, уникнення завантажень з посилань у листах і підтримку оновленого антивірусного програмного забезпечення, здатного виявляти трояни віддаленого доступу, такі як шкідливі навантаження на основі LogMeIn.

Вивчення подібних шахрайств: прецедент Meta

Цей шаблон атаки тісно нагадує попередню фішингову кампанію, що націлювалася на користувачів Meta Business. У тому випадку жертви отримували листи з повідомленнями про те, що їхні рекламні акаунти були заблоковані через порушення регуляцій ЄС. Повідомлення використовували автентичний брендинг Meta та офіційну мову для створення довіри. Користувачі, які натискали посилання, потрапляли на підроблені сторінки входу Meta Business, де їх просили ввести облікові дані. Потім фейковий чат підтримки керував процесом “відновлення”, що дозволяло зібрати їхні дані для авторизації.

Структурна схожість між кампанією Meta та цим нападом на Cardano демонструє еволюцію тактики зловмисників: видавати себе за довірений бренд, створювати штучну терміновість, збирати облікові дані або поширювати шкідливе ПЗ і використовувати довіру користувачів до офіційних повідомлень. Усвідомлення цих тактик підсилює захисний потенціал криптовалютної та ширшої цифрової спільноти.

Дослідники безпеки закликають усіх учасників екосистеми Cardano залишатися пильними, незалежно перевіряти джерела та повідомляти про підозрілі повідомлення офіційним службам безпеки.