Cardano Kullanıcılarını Hedef Alan Kimlik Avı Saldırısı: Sahte Eternl Desktop Uygulaması

Bir kimlik avı kampanyası, sahte Eternl Desktop uygulaması indirme bağlantılarını tanıtarak Cardano kullanıcılarını hedef alıyor. Saldırı, NIGHT ve ATMA token ödüllerine atıfta bulunan profesyonelce hazırlanmış mesajları kullanarak güvenilirlik sağlamaya çalışıyor. Tehdit avcısı Anurag, yeni kaydedilen bir alan adı olan download.eternldesktop.network üzerinden dağıtılan kötü amaçlı bir yükleyici tespit etti. Bu yükleyici, kullanıcıların bilgisi olmadan sistemlere yetkisiz erişim sağlayan bir LogMeIn Resolve uzaktan yönetim aracı içeriyor.

Kötü amaçlı MSI yükleyici, unattended-updater.exe adlı bir yürütülebilir dosya içeriyor ve bu dosya, çalışma zamanında sistemin Program Files dizininde bir klasör yapısı oluşturuyor. Yükleyici ayrıca, unattended.json, logger.json, mandatory.json ve pc.json dahil olmak üzere birden fazla yapılandırma dosyası yazıyor. unattended.json yapılandırması, kullanıcı etkileşimi gerektirmeden uzaktan erişim işlevselliğini etkinleştiriyor. Ağ analizi, kötü amaçlı yazılımın GoTo Resolve altyapısına bağlandığını ortaya koyuyor. Yürütülebilir dosya, sabit kodlanmış API kimlik bilgilerini kullanarak sistem olayı bilgilerini JSON formatında uzaktaki sunuculara iletiyor. Güvenlik araştırmacıları bu davranışı kritik olarak sınıflandırıyor. Uzaktan yönetim araçları, tehdit aktörlerine, kurban sistemlere yüklendikten sonra uzun süreli kalıcılık, uzaktan komut yürütme ve kimlik bilgisi toplama yetenekleri sağlıyor.

Kimlik avı e-postaları, doğru dil bilgisi ve yazım hatası içermeyen, profesyonel bir ton koruyor. Sahte duyuru, donanım cüzdan uyumluluğu, yerel anahtar yönetimi ve gelişmiş yetkilendirme kontrolleri hakkında mesajlaşma dahil olmak üzere, resmi Eternl Desktop sürümünün neredeyse aynı bir kopyasını oluşturuyor. Saldırganlar, gizli erişim araçları dağıtmak için kripto para yönetişim anlatılarını ve ekosisteme özgü referansları silah olarak kullanıyorlar. Diffusion Staking Basket programı aracılığıyla NIGHT ve ATMA token ödüllerine yapılan atıflar, kötü amaçlı kampanyaya sahte bir meşruiyet kazandırıyor. Staking veya yönetişim özelliklerine katılmak isteyen Cardano kullanıcıları, meşru ekosistem gelişmelerini taklit eden sosyal mühendislik taktiklerinden dolayı yüksek risk altında. Kullanıcılar, cüzdan uygulamalarını indirmeden önce yazılımın doğruluğunu yalnızca resmi kanallar aracılığıyla doğrulamalıdır. Anurag'ın kötü amaçlı yazılım analizi, kalıcı yetkisiz erişim sağlamayı amaçlayan tedarik zinciri istismarı girişimini ortaya çıkardı. GoTo Resolve aracı, saldırganlara cüzdan güvenliğini ve özel anahtar erişimini tehlikeye atan uzaktan kontrol yetenekleri sağlıyor.

Sonuç olarak, kullanıcıların doğrulanmamış kaynaklardan veya yeni kaydedilmiş alan adlarından, e-postanın görünümünden veya profesyonel görünümünden bağımsız olarak, cüzdan uygulamaları indirmekten kaçınmaları gerekiyor.