-
ผู้โจมตีแจกจ่ายตัวติดตั้ง Eternl.msi ที่เป็นมัลแวร์พร้อมมัลแวร์ GoTo Resolve ซึ่งอนุญาตให้เข้าถึงระยะไกลและขโมยข้อมูลรับรอง
-
อีเมลฟิชชิงเลียนแบบประกาศอย่างเป็นทางการของ Eternl โดยใช้การอ้างอิงถึง staking และการบริหารจัดการเพื่อดูเหมือนถูกต้องตามกฎหมาย
-
ผู้ใช้ต้องดาวน์โหลดกระเป๋าเงินจากช่องทางที่ได้รับการยืนยันของ Eternl เท่านั้นเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตและการติดมัลแวร์อย่างต่อเนื่อง
แคมเปญฟิชชิงขั้นสูงกำลังโจมตีผู้ใช้ Cardano (ADA) ผ่านอีเมลปลอมที่โปรโมตกระเป๋าเงิน Eternl Desktop ปลอม แคมเปญนี้อ้างอิงถึงคำศัพท์ในระบบนิเวศที่ถูกต้องตามกฎหมาย เช่น NIGHT และรางวัลโทเค็น ATMA นักวิเคราะห์ด้านความปลอดภัยเตือนให้ผู้ใช้ดาวน์โหลดซอฟต์แวร์กระเป๋าเงินเฉพาะจากช่องทางที่ได้รับการยืนยันเท่านั้นเพื่อหลีกเลี่ยงมัลแวร์และการเข้าถึงโดยไม่ได้รับอนุญาต
ตัวติดตั้งมัลแวร์ปลอมเป็นซอฟต์แวร์กระเป๋าเงิน
นักล่าความเสี่ยง Anurag ระบุว่ามีการแจกจ่ายตัวติดตั้งมัลแวร์ผ่านโดเมนที่ไม่ได้รับการยืนยัน download.eternldesktop.network ไฟล์ Eternl.msi ขนาด 23.3 เมกะไบต์นี้ซ่อนเครื่องมือจัดการระยะไกล LogMeIn GoTo Resolve ไว้
ระหว่างการติดตั้ง มันจะวางไฟล์ปฏิบัติการชื่อ unattended-updater.exe ซึ่งสร้างไฟล์คอนฟิกในโฟลเดอร์ Program Files เพื่อเปิดใช้งานการเข้าถึงระยะไกลโดยไม่ต้องมีปฏิสัมพันธ์จากผู้ใช้ มัลแวร์เชื่อมต่อกับโครงสร้างพื้นฐานของ GoTo Resolve โดยส่งข้อมูลเหตุการณ์ระบบในรูปแบบ JSON โดยใช้ข้อมูลรับรอง API ที่ฝังไว้
นักวิจัยด้านความปลอดภัยจัดกิจกรรมนี้ว่าเป็นกิจกรรมที่สำคัญ โดยระบุว่าตัวจัดการระยะไกลช่วยให้สามารถคงอยู่ในระบบได้นาน การสั่งงานระยะไกล และการขโมยข้อมูลรับรองหลังจากติดตั้งแล้ว
แคมเปญใช้เทคนิคฟิชชิงแบบมืออาชีพ
อีเมลฟิชชิงรักษาภาษาแบบมืออาชีพโดยไม่มีข้อผิดพลาดในการสะกดคำ ใกล้เคียงกับประกาศอย่างเป็นทางการของ Eternl Desktop ข้อความโปรโมตคุณสมบัติเช่นความเข้ากันได้กับฮาร์ดแวร์วอลเล็ต การจัดการคีย์ในเครื่อง และการควบคุมการมอบหมายขั้นสูง
ผู้โจมตีใช้เรื่องราวด้านการบริหารจัดการและการอ้างอิงเฉพาะในระบบนิเวศ สร้างความน่าเชื่อถือเทียมเกี่ยวกับรางวัล Diffusion Staking Basket นักวิเคราะห์เตือนว่าแคมเปญนี้มุ่งเป้าไปที่ผู้ใช้ที่ต้องการเข้าร่วม staking หรือกิจกรรมด้านการบริหารจัดการ
ตัวติดตั้งปลอมไม่มีลายเซ็นดิจิทัลหรือการตรวจสอบความถูกต้อง ซึ่งป้องกันไม่ให้ผู้ใช้ยืนยันความถูกต้องก่อนติดตั้ง นักวิเคราะห์เน้นว่าช่องทางโดเมนที่ลงทะเบียนใหม่และลิงก์ดาวน์โหลดที่ไม่เป็นทางการเป็นสัญญาณเตือนสำคัญ
ความเสี่ยงของการเข้าถึงโดยไม่ได้รับอนุญาตอย่างต่อเนื่อง
การวิเคราะห์ของ Anurag เปิดเผยความตั้งใจในการละเมิดห่วงโซ่อุปทาน ซึ่งอนุญาตให้ผู้โจมตีสร้างการเข้าถึงระบบเป้าหมายอย่างต่อเนื่อง หลังจากติดตั้งแล้ว มัลแวร์จะทำลายความปลอดภัยของกระเป๋าเงินและการเข้าถึงคีย์ส่วนตัว นักวิจัยด้านความปลอดภัยแนะนำให้ดาวน์โหลดแอปพลิเคชันกระเป๋าเงินเฉพาะจากช่องทางอย่างเป็นทางการของ Eternl เท่านั้น
ผู้ใช้ควรระมัดระวังและหลีกเลี่ยงการติดตั้งซอฟต์แวร์จากแหล่งที่ไม่ได้รับการยืนยัน แคมเปญนี้เน้นให้เห็นถึงภัยคุกคามที่ยังคงอยู่ในระบบนิเวศของคริปโตเคอเรนซี โดยแสดงให้เห็นว่าผู้โจมตีใช้ประโยชน์จากการอัปเดตที่ดูน่าเชื่อถือเพื่อควบคุมอุปกรณ์ของผู้ใช้
