Şu anda Cardano topluluğunda karmaşık bir kimlik avı kampanyası dolaşıyor ve yeni duyurulan Eternl Desktop uygulamasını indirmek isteyen kullanıcılar için önemli riskler oluşturuyor.
Saldırı, güvenli Cardano token stake etme ve yönetişim katılımı için tasarlanmış meşru bir cüzdan çözümünü tanıttığını iddia eden profesyonelce hazırlanmış bir e-postadan yararlanıyor.
Hileli duyuru, güvenilirlik oluşturmak ve kullanıcı katılımını artırmak için Difüzyon Staking Sepeti programı aracılığıyla NIGHT ve ATMA token ödülleri de dahil olmak üzere ekosisteme özgü teşviklere atıfta bulunuyor.
Saldırganlar, resmi Eternl Desktop duyurusunun neredeyse aynısını, donanım cüzdan uyumluluğu, yerel anahtar yönetimi ve gelişmiş delegasyon kontrolleri hakkındaki mesajlarla tamamlayarak oluşturdular.
.webp)
E-postanın düzgün dilbilgisi ile gösterişli, profesyonel bir üslup kullanması ve gözle görülür yazım hataları olmaması, onu özellikle topluluk üyelerini kandırmada etkili kılıyor.
Kampanya, kötü amaçlı bir yükleyici paketini herhangi bir resmi doğrulama veya dijital imza doğrulaması olmadan dağıtmak için yeni kayıtlı bir alan adı olan download.eternldesktop.network’ü kullanıyor.
Bağımsız tehdit avcısı ve kötü amaçlı yazılım analisti Anurag, ayrıntılı teknik inceleme yoluyla kötü amaçlı yükleyiciyi belirledi ve görünüşte meşru Eternl.msi dosyasının, kurulum paketinde gizli bir LogMeIn Resolve uzaktan yönetim aracı içerdiğini ortaya çıkardı.
Bu keşif, mağdur sistemlere kalıcı yetkisiz erişim sağlamayı amaçlayan önemli bir tedarik zinciri suiistimali girişimini açığa çıkardı.
Kötü amaçlı MSI yükleyicisi
8fa4844e40669c1cb417d7cf923bf3e0 karma değeriyle 23,3 megabayt boyutunda olan kötü amaçlı MSI yükleyicisi, aslında GoToResolveUnattendingUpdater.exe orijinal dosya adını taşıyan unattished-updater.exe adlı bir yürütülebilir dosyayı bırakıyor.
.webp)
Çalışma zamanı analizi sırasında bu yürütülebilir dosya, sistemin Program Dosyaları dizini altında benzersiz şekilde tanımlanmış bir klasör yapısı oluşturur ve unattending.json, logger.json, zorunlu.json ve pc.json dahil olmak üzere birden çok yapılandırma dosyası yazar.
unattending.json yapılandırma dosyası, kullanıcı etkileşimi veya farkındalığı gerektirmeden uzaktan erişim işlevselliğine olanak tanır.
Bırakılan yürütülebilir dosya, devices-iot.console.gotoresolve.com ve dumpster.console.gotoresolve.com dahil olmak üzere meşru GoTo Resolve hizmetleriyle ilişkili altyapıya bağlantı kurmaya çalışır.
Ağ analizi, kötü amaçlı yazılımın sistem olay bilgilerini JSON formatında sabit kodlanmış API kimlik bilgilerini kullanarak uzak sunuculara aktardığını, komut yürütme ve sistem izleme için bir iletişim kanalı oluşturduğunu ortaya koyuyor.
Güvenlik araştırmacıları bu davranışı kritik olarak sınıflandırıyor çünkü uzaktan yönetim araçları, tehdit aktörlerine kurban sistemlerine yüklendikten sonra uzun vadeli kalıcılık, uzaktan komut yürütme ve kimlik bilgileri toplama yetenekleri sağlıyor.
Bu kampanya, kripto para yönetimi anlatılarının ve meşruiyet kazandıran ekosistem referanslarının gizli erişim araçlarını dağıtmak için nasıl silah haline getirildiğini gösteriyor.
Kullanıcılar, yazılımın orijinalliğini yalnızca resmi kanallar aracılığıyla doğrulamalı ve dağıtım e-postaları ne kadar gösterişli görünürse görünsün, doğrulanmamış kaynaklardan veya yeni kayıtlı alanlardan cüzdan uygulamaları indirmekten kaçınmalıdır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
