Investigadores exponen una campaña de phishing dirigida a los usuarios Cardano

Los usuarios Cardano están siendo blanco de una nueva campaña de phishing de billeteras. Según informes, esta sofisticada campaña de phishing está circulando en la comunidad y representa un riesgo significativo para los usuarios que deseen descargar la recién anunciada aplicación Eternl Desktop.

Los hackers redactan correos electrónicos profesionales que afirman promocionar una solución de billetera legítima diseñada para el staking seguro Cardano y la participación en la gobernanza. El anuncio utiliza términos relacionados con la obtención de recompensas por parte de los usuarios, incluyendo NIGHT y ATMA a través del actual programa de sorteo de criptomonedas, para generar credibilidad e impulsar la participación de los usuarios.

Los piratas informáticos tienen en la mira a los usuarios de la billetera Cardano

Según los informes, los piratas informáticos pudieron crear una réplica del anuncio oficial de Eternl Desktop, complementándolo con un mensaje sobre compatibilidad de billetera de hardware, administración de claves locales y control de delegación avanzado.

El correo electrónico muestra un tono profesional y refinado, con gramática correcta y sin errores ortográficos visibles, lo que lo hace muy eficaz para engañar a los miembros de la comunidad Cardano . Además, distribuye malware a cualquier sistema al que acceda.

Los informes mencionaron que la campaña utiliza un dominio recién registrado, download(punto)eternldesktop(punto)network, para distribuir un paquete de instalación malicioso sin la necesidad de una verificación oficial o validación de firma digital.

En el análisis técnico detallado realizado por Anurag, un cazador de amenazas y analista de malwaredent , el archivo legítimo Eternl.msi contiene una herramienta de administración remota LogMeIn Resolve oculta incluida en su paquete de instalación.

El descubrimiento expuso un intento de abuso de la cadena de suministro destinado a establecer no autorizado a los sistemas de las víctimas. El instalador MSI malicioso, con un tamaño de 23,3 megabytes y hash 8fa4844e40669c1cb417d7cf923bf3e0, instala un ejecutable llamado unattended updater.exe, que utiliza el nombre de archivo original GoToResolveUnattendedUpdater.exe.

Durante el análisis en tiempo de ejecución, el ejecutable crea una estructura de carpetasdentbajo los Archivos de programa del sistema.

Una vez creados los Archivos de Programa, se crea un directorio y se escriben varias configuraciones, incluyendo unattended.json, logger.json, required.json y pc.json. El archivo de configuración unattended.json permite el acceso remoto sin necesidad de interacción del usuario.

El ejecutable descartado intenta establecer conexiones con la infraestructura asociada con los servicios legítimos de GoTo Resolve, incluidos devices-iot.console.gotoresolve.com y dumpster.console.gotoresolve.com.

El malware proporciona a los piratas informáticos acceso remoto

Según el análisis de red, el malware envía información a los hackers en formato JSON. También utiliza servidores remotos para establecer un canal de comunicación para la ejecución de comandos y la monitorización del sistema.

Los investigadores de seguridad dicen que este comportamiento es importante porque las herramientas de administración remota permiten a los piratas informáticos ejecutar comandos remotos y robardentuna vez que el malware se instala en el sistema de la víctima.

La Cardano también muestra cómo los hackers utilizan criptomonedas y la imagen de marca de plataformas legítimas para distribuir herramientas infectadas con malware. Esto significa que los usuarios deben verificar la autenticidad del software que utilizan a través de canales oficiales. Además, deben evitar descargar aplicaciones de monedero de fuentes no verificadas o dominios recién registrados, independientemente de la veracidad de sus correos electrónicos de distribución.

Este Cardano La campaña de phishing es similar a la que se dirigió a los clientes que usaban Meta para anuncios el año pasado. Los usuarios reciben correos electrónicos que afirman que sus anuncios han sido suspendidos temporalmente debido a infracciones de las políticas publicitarias y la normativa de la UE.

Los estafadores incluso llegan a simular la legitimidad añadiendo la marca oficial de Instagram y un lenguaje que suena oficial sobre infracciones de políticas. Sin embargo, un análisis más detallado reveló que los correos electrónicos provenían de un dominio diferente.

Los investigadores mencionaron que, al hacer clic en el enlace, los usuarios son redirigidos a una página falsa de Meta Business que parece convincente. El sitio web imita el sitio de soporte real, abriendo una página que advierte al usuario que su cuenta podría ser cancelada si no actúa de inmediato.

Se engaña a los usuarios para que ingresen sus datos de inicio de sesión de anuncios en los espacios provistos, y el servicio de atención al cliente los guía con instrucciones paso a paso para restaurar sus cuentas.

Únete a Bybit ahora y reclama un bono de $50 en minutos