Cardano 钱包面临威胁？可疑的钓鱼活动浮出水面

钓鱼攻击活动通过伪造的电子邮件，推广虚假的Eternl桌面应用程序下载，针对Cardano用户。

该攻击利用专业制作的信息，提及NIGHT和ATMA代币奖励，通过Diffusion Staking Basket计划建立可信度。

威胁猎手Anurag发现一个恶意安装程序通过新注册的域名download.eternldesktop.network进行分发。

这个23.3兆字节的Eternl.msi文件包含一个隐藏的LogMeIn Resolve远程管理工具，能够在用户不知情的情况下建立对受害系统的未授权访问。

伪装安装程序捆绑远程访问木马

恶意的MSI安装程序携带特定的文件，并放置一个名为unattended-updater.exe的可执行文件，使用原始文件名。在运行时，该可执行文件在系统的Program Files目录下创建一个文件夹结构。

安装程序写入多个配置文件，包括unattended.json、logger.json、mandatory.json和pc.json。

unattended.json配置启用远程访问功能，无需用户交互。

网络分析显示，该恶意软件连接到GoTo Resolve基础设施。该可执行文件使用硬编码的API凭据，将系统事件信息以JSON格式传输到远程服务器。

安全研究人员将此行为归类为关键级别。远程管理工具一旦安装在受害系统上，能为威胁行为者提供长期持久性、远程命令执行和凭证收集的能力。

钓鱼邮件保持专业、整洁的语气，语法正确，无拼写错误。

虚假公告几乎复制了官方Eternl桌面版本，包括关于硬件钱包兼容性、本地密钥管理和高级委托控制的内容。

活动针对Cardano用户

攻击者利用加密货币治理叙事和生态系统特定的引用，分发隐蔽的访问工具。

通过Diffusion Staking Basket计划提及NIGHT和ATMA代币奖励，虚假增强了该恶意活动的合法性。

寻求参与质押或治理功能的Cardano用户面临高风险，容易受到模仿合法生态系统发展的社会工程攻击。

新注册的域名在未经过官方验证或数字签名验证的情况下分发安装程序。

用户在下载钱包应用程序前，应仅通过官方渠道验证软件的真实性。

Anurag的恶意软件分析显示，此供应链滥用企图旨在建立持久的未授权访问。

GoTo Resolve工具为攻击者提供远程控制能力，危及钱包安全和私钥访问。

用户应避免从未经验证的来源或新注册的域名下载钱包应用程序，无论电子邮件多么专业或看似正规。