研究人员揭露了针对 Cardano 用户的网络钓鱼活动

Cardano 用户目前正成为一场新型钱包网络钓鱼攻击的目标。据报道，这场精心设计的钓鱼攻击目前正在 Cardano 社区内传播，对计划下载新发布的 Eternl Desktop 应用程序的用户构成重大风险。.

黑客精心制作专业邮件，声称推广一款专为安全Cardano代币和参与治理而设计的合法钱包解决方案。公告中使用了与用户赚取奖励相关的词汇，例如NIGHT和 ATMA 代币奖励，以此来建立可信度并吸引用户参与。

黑客正以 Cardano 钱包用户为目标。

据报道，黑客们成功复制了 Eternl Desktop 的官方公告，并添加了有关硬件钱包兼容性、本地密钥管理和高级委托控制的消息。.

这封邮件措辞严谨专业，语法正确，拼写无误，因此极易欺骗 Cardano 社区成员。与此同时，它还会向任何入侵的系统传播恶意软件。.

报道称，该活动使用新注册的域名 download(dot)eternldesktop(dot)network 分发恶意安装程序包，而无需官方验证或数字签名验证。.

dent 威胁猎手和恶意软件分析师 Anurag 进行了详细的技术分析，发现合法的 Eternl.msi 文件在其安装包中捆绑了一个隐藏的 LogMeIn Resolve 远程管理工具。.

未经授权供应链滥用企图。恶意 MSI 安装程序大小为 23.3 MB，哈希值为 8fa4844e40669c1cb417d7cf923bf3e0，它会释放一个名为 unattended updater.exe 的可执行文件，该文件使用了原始文件名 GoToResolveUnattendedUpdater.exe。

在运行时分析期间，可执行文件会在系统的“程序文件”下创建一个dent的文件夹结构。.

创建程序文件后，它会创建一个目录并写入多个配置文件，包括 unattended.json、logger.json、mandended.json 和 pc.json。unattended.json 配置文件启用远程访问功能，无需用户交互。.

丢弃的可执行文件试图建立与合法的 GoTo Resolve 服务相关的基础架构的连接，包括 devices-iot.console.gotoresolve.com 和 dumpster.console.gotoresolve.com。.

恶意软件为黑客提供远程访问权限

网络分析显示，该恶意软件以 JSON 格式向黑客发送信息。它还利用远程服务器建立通信通道，用于执行命令和监控系统。.

安全研究人员表示，这种行为非常重要，因为远程管理工具允许黑客在恶意软件安装到受害者系统后执行远程命令并窃取dent。.

CardanoCardano合法平台的品牌来传播感染恶意软件的工具。这意味着用户需要通过官方渠道验证所使用软件的真实性。此外，无论分发邮件看起来多么正规，用户都应避免从未经核实的来源或新注册的域名下载钱包应用程序。

这个Cardano 网络钓鱼活动与去年针对使用 Meta 广告平台的用户发起的钓鱼活动类似。攻击者通过电子邮件诱骗用户，声称他们的广告因违反广告政策和欧盟法规而被暂时停用。

诈骗分子甚至伪造Instagram官方标识和措辞，用官方的语言描述违规行为，使邮件看起来更加可信。然而，仔细检查后发现，这些邮件来自不同的域名。.

研究人员指出，用户点击链接后会被重定向到一个看起来很逼真的虚假 Meta Business 页面。该网站模仿了真正的支持网站，打开页面会警告用户，如果不立即采取行动，他们的帐户将被终止。.

用户被诱骗在提供的空格中输入他们的广告登录信息，客服人员会提供分步说明指导他们恢复帐户。.

立即加入 Bybit并在几分钟内领取 50 美元奖金